Nobelium, nhóm đứng sau cuộc tấn công SolarWinds, vẫn có một kho vũ khí lớn với các khả năng hack tiên tiến. Đây là kết luận của các chuyên gia bảo mật của Mandiant trong một nghiên cứu gần đây. Mối nguy hiểm của những tin tặc - được nhà nước hậu thuẫn - này vẫn chưa qua khỏi.
Một năm trước, tin tặc Nobelium đã xâm nhập được vào chuyên gia bảo mật người Mỹ SolarWinds. Sau đó, nhiều khách hàng của chuyên gia bảo mật này đã bị hack, khoảng 18,000 người, bao gồm cả Microsoft và cả chính phủ Mỹ. Điều này với tất cả các hậu quả của nó.
Điều tra sâu hơn về lý lịch của các tin tặc cho thấy rằng các tin tặc Nobelium bị nghi ngờ nhận viện trợ từ một quốc gia. Đây có lẽ là Nga.
Nobelium được biết đến nhiều nhất với các chiến thuật, kỹ thuật và quy trình tiên tiến, còn được gọi là TTP. Thay vì tấn công từng nạn nhân một, họ thích chọn một công ty phục vụ nhiều khách hàng. Thông qua một cuộc tấn công vào công ty thứ hai, các tin tặc tìm kiếm một loại 'chìa khóa chính' mà sau đó chỉ cần 'mở' cánh cửa cho khách hàng.
Nghiên cứu của Mandiant cho thấy Nobelium và hai nhóm hacker UNC3004 và UNC2652 thuộc tập đoàn hack này, đã hoàn thiện hơn nữa các hoạt động TTP của họ. Đặc biệt là đối với các cuộc tấn công vào cloud các nhà cung cấp và MSP để tiếp cận nhiều doanh nghiệp hơn nữa.
Các kỹ thuật mới của tin tặc là sử dụng thông tin đăng nhập có được thông qua các chiến dịch phần mềm độc hại đánh cắp thông tin của các tin tặc khác. Với điều này, các tin tặc Nobelium đã tìm cách tiếp cận nạn nhân đầu tiên. Các tin tặc cũng sử dụng các tài khoản có đặc quyền Mạo danh ứng dụng để "thu hoạch" dữ liệu email nhạy cảm. Các tin tặc cũng sử dụng cả dịch vụ IP proxy cho người tiêu dùng và cơ sở hạ tầng cục bộ mới để giao tiếp với các nạn nhân bị ảnh hưởng.
Họ cũng sử dụng các khả năng TTP mới để vượt qua các hạn chế bảo mật trong các môi trường khác nhau, bao gồm cả máy ảo, để xác định cấu hình định tuyến nội bộ. Một công cụ khác được sử dụng là trình tải xuống CEELOADER mới. Các tin tặc thậm chí đã tìm cách xâm nhập vào thư mục đang hoạt động của tài khoản Microsoft Azure và đánh cắp 'khóa chính' cấp quyền truy cập vào thư mục của khách hàng của một bên bị ảnh hưởng. Cuối cùng, các tin tặc đã lạm dụng xác thực đa yếu tố bằng cách sử dụng thông báo đẩy trên điện thoại thông minh.
Các nhà nghiên cứu của Mandiant nhận thấy rằng các tin tặc chủ yếu quan tâm đến dữ liệu quan trọng đối với Nga. Ngoài ra, trong một số trường hợp, dữ liệu bị đánh cắp khiến tin tặc phải đưa ra lối vào mới để tấn công các nạn nhân khác.
Báo cáo kết luận rằng các cuộc tấn công của Nobelium sẽ không sớm dừng lại. Theo các nhà nghiên cứu, các tin tặc tiếp tục cải thiện các kỹ thuật và kỹ năng tấn công của họ để ở lại lâu hơn trong mạng của nạn nhân, tránh bị phát hiện và làm thất bại các hoạt động khôi phục.
Mỗi ngày trôi qua khiến các cuộc tấn công ransomware trở nên bình thường hơn. Họ tạo ra sự tàn phá và yêu cầu một khoản tiền…
Mỗi ngày trôi qua khiến các cuộc tấn công ransomware trở nên bình thường hơn. Họ tạo ra sự tàn phá và yêu cầu một khoản tiền…
Mỗi ngày trôi qua khiến các cuộc tấn công ransomware trở nên bình thường hơn. Họ tạo ra sự tàn phá và yêu cầu một khoản tiền…
Nhiều cá nhân cho biết họ gặp phải sự cố với trang web có tên Tylophes.xyz. Trang web này lừa người dùng…
Nhiều cá nhân cho biết họ gặp phải sự cố với trang web có tên Sadre.co.in. Trang web này lừa người dùng…
Khi kiểm tra kỹ hơn, Search.rainmealslow.live không chỉ là một công cụ trình duyệt. Nó thực sự là một trình duyệt…