SolarWinds 攻击背后的组织 Nobelium 仍然拥有大量先进的黑客攻击能力。 这是 Mandiant 的安全专家在最近的一项研究中得出的结论。 这些 - 可能是国家支持的 - 黑客的危险尚未过去。
一年前,Nobelium 黑客成功侵入了美国安全专家 SolarWinds。 随后,这位安全专家的许多客户遭到黑客攻击,约有 18,000 名客户,其中包括微软和美国政府。 这及其所有后果。
对黑客背景的进一步调查显示,Nobelium黑客涉嫌接受某个国家的援助。 这可能是俄罗斯。
Nobelium 以其先进的战术、技术和程序(也称为 TTP)而闻名。 他们更愿意选择一家为多个客户提供服务的公司,而不是一一攻击他们的受害者。 通过对后者公司的黑客攻击,黑客寻找一种“万能钥匙”,然后简单地“打开”客户的大门。
研究Mandiant
Mandiant 的研究表明,Nobelium 以及作为该黑客集团一部分的两个黑客组织 UNC3004 和 UNC2652 进一步完善了他们的 TTP 活动。 特别是对于攻击 cloud 供应商和 MSP 以接触更多业务。
黑客的新技术是使用通过其他黑客的信息窃取恶意软件活动获得的凭据。 有了这个,Nobelium 黑客寻求第一次接触受害者。 黑客还使用具有应用程序模拟权限的帐户来“收集”敏感的电子邮件数据。 黑客还使用面向消费者的 IP 代理服务和新的本地基础设施与受影响的受害者进行通信。
其他技巧
他们还使用新的 TTP 功能绕过各种环境(包括虚拟机)中的安全限制,以确定内部路由配置。 另一个使用的工具是新的 CEELOADER 下载器。 黑客甚至设法侵入了 Microsoft Azure 帐户的活动目录并窃取了“万能钥匙”,这些“万能钥匙”可以访问受影响方的客户目录。 最后,黑客设法使用智能手机上的推送通知滥用多因素身份验证。
Mandiant 研究人员注意到,黑客主要对俄罗斯重要的数据感兴趣。 此外,在某些情况下,数据被盗,黑客不得不提供新的入口来攻击其他受害者。
诺贝尔持续存在的问题
该报告的结论是,Nobelium 的攻击不会很快停止。 据研究人员称,黑客继续改进他们的攻击技术和技能,以便在受害者网络中停留更长时间,避免检测并挫败恢复操作。