Nobelium, gruppen bak SolarWinds-angrepet, har fortsatt et stort arsenal av avanserte hacking-evner til disposisjon. Dette er konklusjonen til Mandiants sikkerhetsspesialister i en fersk studie. Faren for disse -sannsynligvis statsstøttede- hackerne er ennå ikke over.
For et år siden klarte Nobelium-hackerne å hacke seg inn på den amerikanske sikkerhetsspesialisten SolarWinds. Deretter ble mange kunder av denne sikkerhetsspesialisten hacket, rundt 18,000 XNUMX, inkludert Microsoft og også den amerikanske regjeringen. Dette med alle dets konsekvenser.
Ytterligere etterforskning av bakgrunnen til hackerne avslørte at Nobelium-hackerne er mistenkt for å ha mottatt bistand fra et land. Dette er sannsynligvis Russland.
Nobelium er mest kjent for sine avanserte taktikker, teknikker og prosedyrer, også kjent som TTP. I stedet for å angripe ofrene én etter én, foretrekker de å velge ett selskap som betjener flere kunder. Via et hack på sistnevnte firma leter hackerne etter en slags 'hovednøkkel' som så rett og slett 'åpner' dørene til kundene.
Forskningsmandiant
Mandiants forskning viser at Nobelium, og de to hackergruppene UNC3004 og UNC2652 som er en del av dette hackingkonglomeratet, har perfeksjonert sine TTP-aktiviteter ytterligere. Spesielt for angrep på cloud leverandører og MSPer for å nå enda flere bedrifter.
Nye teknikker for hackerne er bruken av legitimasjon innhentet gjennom info-tyver malware-kampanjer fra andre hackere. Med dette søkte Nobelium-hackerne den første tilgangen til ofrene. Hackerne brukte også kontoer med Application Impersonation-privilegier for å "høste" sensitive e-postdata. Hackerne brukte også både IP-proxy-tjenester for forbrukere og ny lokal infrastruktur for å kommunisere med berørte ofre.
Andre teknikker
De brukte også nye TTP-funksjoner for å omgå sikkerhetsrestriksjoner i forskjellige miljøer, inkludert virtuelle maskiner, for å bestemme interne rutingkonfigurasjoner. Et annet verktøy som ble brukt var den nye CEELOADER-nedlasteren. Hackerne klarte til og med å trenge inn i aktive kataloger for Microsoft Azure-kontoer og stjele 'hovednøkler' som gir tilgang til kataloger til kunder til en berørt part. Til slutt klarte hackerne å misbruke multifaktorautentisering ved å bruke push-varsler på smarttelefoner.
Mandiant-forskerne la merke til at hackerne hovedsakelig var interessert i data som var viktige for Russland. I tillegg ble det i noen tilfeller stjålet data som hackerne måtte gi nye innganger for å angripe andre ofre.
Nobelium vedvarende problem
Rapporten konkluderer med at Nobeliums angrep ikke vil stoppe med det første. Ifølge forskerne fortsetter hackerne å forbedre sine angrepsteknikker og ferdigheter for å holde seg lenger innenfor ofrenes nettverk, unngå oppdagelse og frustrere gjenopprettingsoperasjoner.