Nobelium, ກຸ່ມທີ່ຢູ່ເບື້ອງຫຼັງການໂຈມຕີ SolarWinds, ຍັງມີສານຫນູຂະຫນາດໃຫຍ່ຂອງຄວາມສາມາດ hacking ກ້າວຫນ້າໃນການກໍາຈັດຂອງມັນ. ນີ້ແມ່ນການສະຫລຸບຂອງຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງ Mandiant ໃນການສຶກສາທີ່ຜ່ານມາ. ອັນຕະລາຍຂອງພວກແຮກເກີ - ອາດຈະເປັນລັດສະຫນັບສະຫນຸນເຫຼົ່ານີ້ຍັງບໍ່ທັນໄດ້ຜ່ານ.
ນຶ່ງປີກ່ອນຫນ້ານີ້, ແຮກເກີ Nobelium ຈັດການ hack ເຂົ້າໄປໃນຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງອາເມລິກາ SolarWinds. ຕໍ່ມາ, ລູກຄ້າຫຼາຍຄົນຂອງຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພນີ້ຖືກແຮັກ, ປະມານ 18,000 ຄົນ, ລວມທັງ Microsoft ແລະລັດຖະບານສະຫະລັດ. ນີ້ມີຜົນສະທ້ອນທັງຫມົດຂອງຕົນ.
ການສືບສວນຕື່ມອີກກ່ຽວກັບພື້ນຖານຂອງແຮກເກີໄດ້ເປີດເຜີຍວ່າແຮກເກີ Nobelium ໄດ້ຖືກສົງໃສວ່າໄດ້ຮັບການຊ່ວຍເຫຼືອຈາກປະເທດໃດຫນຶ່ງ. ນີ້ອາດຈະເປັນລັດເຊຍ.
Nobelium ແມ່ນເປັນທີ່ຮູ້ຈັກດີທີ່ສຸດສໍາລັບກົນລະຍຸດ, ເຕັກນິກແລະຂັ້ນຕອນທີ່ກ້າວຫນ້າ, ເຊິ່ງເອີ້ນກັນວ່າ TTP. ແທນທີ່ຈະໂຈມຕີຜູ້ເຄາະຮ້າຍຂອງພວກເຂົາເທື່ອລະຄົນ, ພວກເຂົາມັກເລືອກບໍລິສັດຫນຶ່ງທີ່ໃຫ້ບໍລິການລູກຄ້າຫຼາຍ. ໂດຍຜ່ານການ hack ຢູ່ໃນບໍລິສັດສຸດທ້າຍ, ແຮກເກີຊອກຫາປະເພດຂອງ 'ລະຫັດຫຼັກ' ທີ່ຫຼັງຈາກນັ້ນພຽງແຕ່ 'ເປີດ' ປະຕູໃຫ້ລູກຄ້າ.
ການຄົ້ນຄວ້າ Mandiant
ການຄົ້ນຄວ້າຂອງ Mandiant ສະແດງໃຫ້ເຫັນວ່າ Nobelium, ແລະສອງກຸ່ມແຮກເກີ UNC3004 ແລະ UNC2652 ທີ່ເປັນສ່ວນຫນຶ່ງຂອງກຸ່ມ hacking ນີ້, ໄດ້ປັບປຸງກິດຈະກໍາ TTP ຂອງເຂົາເຈົ້າຢ່າງສົມບູນ. ໂດຍສະເພາະແມ່ນການໂຈມຕີ cloud ຜູ້ຂາຍແລະ MSPs ເພື່ອເຂົ້າເຖິງທຸລະກິດຫຼາຍຂຶ້ນ.
ເຕັກນິກໃຫມ່ຂອງແຮກເກີແມ່ນການນໍາໃຊ້ຂໍ້ມູນປະຈໍາຕົວທີ່ໄດ້ຮັບໂດຍຜ່ານການໂຄສະນາ malware ຂໍ້ມູນ stealer ຂອງແຮກເກີອື່ນໆ. ດ້ວຍນີ້, ແຮກເກີ Nobelium ໄດ້ຊອກຫາການເຂົ້າເຖິງຜູ້ຖືກເຄາະຮ້າຍຄັ້ງທໍາອິດ. ແຮກເກີຍັງໄດ້ໃຊ້ບັນຊີທີ່ມີສິດທິການປອມຕົວເປັນແອັບພລິເຄຊັນເພື່ອ “ເກັບກ່ຽວ” ຂໍ້ມູນອີເມວທີ່ລະອຽດອ່ອນ. ແຮກເກີຍັງໄດ້ໃຊ້ທັງບໍລິການ IP proxy ສໍາລັບຜູ້ບໍລິໂພກແລະໂຄງສ້າງພື້ນຖານໃຫມ່ໃນທ້ອງຖິ່ນເພື່ອຕິດຕໍ່ສື່ສານກັບຜູ້ຖືກເຄາະຮ້າຍທີ່ຖືກກະທົບ.
ເຕັກນິກອື່ນໆ
ພວກເຂົາເຈົ້າຍັງໄດ້ນໍາໃຊ້ຄວາມສາມາດ TTP ໃໝ່ ສໍາລັບການຂ້າມຂໍ້ຈໍາກັດດ້ານຄວາມປອດໄພໃນສະພາບແວດລ້ອມຕ່າງໆ, ລວມທັງເຄື່ອງ virtual, ເພື່ອກໍານົດການກໍານົດເສັ້ນທາງພາຍໃນ. ເຄື່ອງມືອື່ນທີ່ໃຊ້ແມ່ນຕົວດາວໂຫລດ CEELOADER ໃໝ່. ແຮກເກີສາມາດເຈາະເຂົ້າໄປໃນໄດເລກະທໍລີທີ່ມີການເຄື່ອນໄຫວຂອງບັນຊີ Microsoft Azure ແລະລັກເອົາ 'ລະຫັດຫຼັກ' ທີ່ໃຫ້ການເຂົ້າເຖິງໄດເລກະທໍລີຂອງລູກຄ້າຂອງພາກສ່ວນທີ່ໄດ້ຮັບຜົນກະທົບ. ສຸດທ້າຍ, ແຮກເກີສາມາດລ່ວງລະເມີດການພິສູດຢືນຢັນຫຼາຍປັດໃຈໂດຍໃຊ້ການແຈ້ງເຕືອນໃນໂທລະສັບສະຫຼາດ.
ນັກຄົ້ນຄວ້າ Mandiant ສັງເກດເຫັນວ່າແຮກເກີສ່ວນໃຫຍ່ແມ່ນມີຄວາມສົນໃຈໃນຂໍ້ມູນທີ່ມີຄວາມສໍາຄັນກັບລັດເຊຍ. ນອກຈາກນັ້ນ, ໃນບາງກໍລະນີຂໍ້ມູນຖືກລັກທີ່ແຮກເກີຕ້ອງໃຫ້ທາງເຂົ້າໃຫມ່ເພື່ອໂຈມຕີຜູ້ຖືກເຄາະຮ້າຍອື່ນໆ.
Nobelium ບັນຫາຄົງທີ່
ບົດລາຍງານສະຫຼຸບວ່າ ການໂຈມຕີຂອງທ່ານ Nobelium ຈະບໍ່ຢຸດເຊົາໃນໄວໆນີ້. ອີງຕາມນັກຄົ້ນຄວ້າ, ແຮກເກີສືບຕໍ່ປັບປຸງເຕັກນິກການໂຈມຕີແລະທັກສະຂອງພວກເຂົາເພື່ອຢູ່ພາຍໃນເຄືອຂ່າຍຂອງຜູ້ຖືກເຄາະຮ້າຍ, ຫຼີກລ້ຽງການຊອກຄົ້ນຫາແລະການຂັດຂວາງການດໍາເນີນງານການຟື້ນຟູ.