SolarWinds တိုက်ခိုက်မှုနောက်ကွယ်မှအဖွဲ့ဖြစ်သော Nobelium သည် ၎င်းကို ကိုင်တွယ်ရာတွင် အဆင့်မြင့် ဟက်ကာစွမ်းရည်များစွာကို ပိုင်ဆိုင်ထားဆဲဖြစ်သည်။ ဤသည်မှာ မကြာသေးမီက လေ့လာမှုတစ်ခုတွင် Mandiant ၏ လုံခြုံရေးကျွမ်းကျင်သူများ၏ နိဂုံးချုပ်ချက်ဖြစ်သည်။ ဤ-ဖြစ်ကောင်းဖြစ်နိုင်သည်-ပြည်နယ်-ကျောထောက်နောက်ခံ-ဟက်ကာများ၏အန္တရာယ်ကိုမကျော်လွန်သေးပါ။
လွန်ခဲ့သည့်တစ်နှစ်က၊ Nobelium ဟက်ကာများသည် အမေရိကန်လုံခြုံရေး အထူးကျွမ်းကျင်သူ SolarWinds သို့ ဟက်ကာနိုင်ခဲ့သည်။ နောက်ပိုင်းတွင်၊ Microsoft နှင့် US အစိုးရတို့ အပါအဝင် ဖောက်သည် ၁၈,၀၀၀ ခန့်သည် ဤလုံခြုံရေး အထူးကျွမ်းကျင်သူ၏ ဖောက်သည်အများအပြားကို ဟက်ခ်ခံခဲ့ရသည်။ ဒါတွေအားလုံးရဲ့ အကျိုးဆက်တွေပါ။
Nobelium ဟက်ကာများသည် နိုင်ငံတစ်ခုမှ အကူအညီများရယူသည်ဟု သံသယရှိသူများဖြစ်ကြောင်း ဟက်ကာများ၏နောက်ကွယ်တွင် နောက်ထပ် စုံစမ်းစစ်ဆေးမှုများက ဖော်ပြခဲ့သည်။ ဒါက ရုရှားဖြစ်နိုင်တယ်။
Nobelium သည် ၎င်း၏အဆင့်မြင့်နည်းဗျူဟာများ၊ နည်းစနစ်များနှင့် လုပ်ထုံးလုပ်နည်းများအတွက် TTP ဟုလည်းလူသိများသည်။ သူတို့ရဲ့ သားကောင်တွေကို တစ်ယောက်ပြီးတစ်ယောက် တိုက်ခိုက်မယ့်အစား ဖောက်သည်များစွာကို ဝန်ဆောင်မှုပေးတဲ့ ကုမ္ပဏီတစ်ခုကို ရွေးရတာကို နှစ်သက်ပါတယ်။ နောက်ပိုင်းတွင် ကုမ္ပဏီကို ဟက်ကာမှတစ်ဆင့် ဟက်ကာများသည် ဖောက်သည်များထံ တံခါးဖွင့်ပေးသည့် 'မာစတာသော့' တစ်မျိုးကို ရှာဖွေကြသည်။
သုတေသန Mandiant
Mandiant ၏ သုတေသနပြုချက်အရ Nobelium နှင့် ဤဟက်ကာအဖွဲ့၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သော UNC3004 နှင့် UNC2652 တို့သည် ၎င်းတို့၏ TTP လှုပ်ရှားမှုများကို ပိုမိုပြီးပြည့်စုံစေကြောင်း ပြသခဲ့သည်။ အထူးသဖြင့် တိုက်ခိုက်ခြင်းများ ပြုလုပ်ရန် cloud စျေးသည်များနှင့် MSP များသည် လုပ်ငန်းများကို ပိုမိုရောက်ရှိစေရန်။
ဟက်ကာများ၏ နည်းစနစ်အသစ်များသည် အခြားဟက်ကာများ၏ အချက်အလက်ခိုးယူသည့် malware လှုံ့ဆော်မှုများမှတစ်ဆင့် ရရှိသော အထောက်အထားများကို အသုံးပြုခြင်းဖြစ်သည်။ ယင်းကြောင့် Nobelium ဟက်ကာများသည် သားကောင်များထံ ပထမဆုံးဝင်ရောက်ခွင့်ကို ရှာဖွေခဲ့ကြသည်။ ဟက်ကာများသည် အက်ပလီကေးရှင်းအယောင်ဆောင်ခြင်းဆိုင်ရာ အထူးအခွင့်အရေးများပါရှိသော အကောင့်များကို အထိခိုက်မခံသောအီးမေးလ်ဒေတာကို “ရိတ်သိမ်း” ရန်လည်း အသုံးပြုခဲ့သည်။ ဟက်ကာများသည် သုံးစွဲသူများအတွက် IP proxy ဝန်ဆောင်မှုများနှင့် ထိခိုက်ခံရသူများနှင့် ဆက်သွယ်ရန်အတွက် ဒေသတွင်း အခြေခံအဆောက်အအုံအသစ်များကို အသုံးပြုခဲ့သည်။
အခြားနည်းပညာများ
စက်တွင်းလမ်းကြောင်းသတ်မှတ်ခြင်းများကို ဆုံးဖြတ်ရန်အတွက် virtual machines များအပါအဝင် ပတ်ဝန်းကျင်အမျိုးမျိုးရှိ လုံခြုံရေးကန့်သတ်ချက်များကို ကျော်လွှားရန်အတွက် TTP စွမ်းရည်အသစ်များကို အသုံးပြုခဲ့သည်။ နောက်ထပ်အသုံးပြုသည့်ကိရိယာမှာ CEELOADER ဒေါင်းလုဒ်အသစ်ဖြစ်သည်။ ဟက်ကာများသည် Microsoft Azure အကောင့်များ၏ အသက်ဝင်နေသော လမ်းညွှန်များကိုပင် ထိုးဖောက်ဝင်ရောက်ကာ သက်ရောက်မှုရှိသည့် ပါတီတစ်ခု၏ ဖောက်သည်များ၏ လမ်းညွှန်များထံ ဝင်ရောက်ခွင့်ပေးသည့် 'မာစတာကီးများ' ကို ခိုးယူနိုင်ခဲ့သည်။ နောက်ဆုံးတွင်၊ ဟက်ကာများသည် စမတ်ဖုန်းများပေါ်ရှိ push အသိပေးချက်များကို အသုံးပြုကာ အကြောင်းရင်းပေါင်းများစွာ အထောက်အထားစိစစ်ခြင်းကို အလွဲသုံးစားပြုနိုင်ခဲ့သည်။
Mandiant သုတေသီများသည် ဟက်ကာများသည် ရုရှားအတွက် အရေးကြီးသော အချက်အလက်များကို အဓိကအားဖြင့် စိတ်ဝင်စားကြသည်ကို သတိပြုမိခဲ့သည်။ ထို့အပြင်၊ အချို့သောကိစ္စရပ်များတွင် အခြားသားကောင်များကို တိုက်ခိုက်ရန်အတွက် ဟက်ကာများသည် ဝင်ပေါက်အသစ်များပေးဆောင်ရန် ဒေတာခိုးယူခံခဲ့ရသည်။
နိုဗယ်လီယံ ပြသနာက အမြဲရှိနေတယ်။
Nobelium ၏တိုက်ခိုက်မှုများသည် မကြာမီအချိန်မရွေးရပ်တန့်မည်မဟုတ်ကြောင်း အစီရင်ခံစာကနိဂုံးချုပ်ထားသည်။ သုတေသီများ၏ အဆိုအရ ဟက်ကာများသည် သားကောင်များ၏ ကွန်ရက်များအတွင်း ကြာကြာနေရန်၊ ထောက်လှမ်းခြင်းများကို ရှောင်ရှားရန်နှင့် ပြန်လည်ရယူရေး လုပ်ငန်းများကို စိတ်ပျက်စေရန်အတွက် ၎င်းတို့၏ တိုက်ခိုက်ရေးနည်းပညာများနှင့် စွမ်းရည်များကို ဆက်လက် မြှင့်တင်လျက်ရှိသည်။