SolarWinds 攻擊背後的組織 Nobelium 仍然擁有大量先進的黑客攻擊能力。 這是 Mandiant 的安全專家在最近的一項研究中得出的結論。 這些 - 可能是國家支持的 - 黑客的危險尚未過去。
一年前,Nobelium 黑客成功侵入了美國安全專家 SolarWinds。 隨後,這位安全專家的許多客戶遭到黑客攻擊,約有 18,000 名客戶,其中包括微軟和美國政府。 這及其所有後果。
對黑客背景的進一步調查顯示,Nobelium黑客涉嫌接受某個國家的援助。 這可能是俄羅斯。
Nobelium 以其先進的戰術、技術和程序(也稱為 TTP)而聞名。 他們更願意選擇一家為多個客戶提供服務的公司,而不是一一攻擊他們的受害者。 通過對後者公司的黑客攻擊,黑客尋找一種“萬能鑰匙”,然後簡單地“打開”客戶的大門。
研究Mandiant
Mandiant 的研究表明,Nobelium 以及作為該黑客集團一部分的兩個黑客組織 UNC3004 和 UNC2652 進一步完善了他們的 TTP 活動。 特別是對於攻擊 cloud 供應商和 MSP 以接觸更多業務。
黑客的新技術是使用通過其他黑客的信息竊取惡意軟件活動獲得的憑據。 有了這個,Nobelium 黑客尋求第一次接觸受害者。 黑客還使用具有應用程序模擬權限的帳戶來“收集”敏感的電子郵件數據。 黑客還使用面向消費者的 IP 代理服務和新的本地基礎設施與受影響的受害者進行通信。
其他技術
他們還使用新的 TTP 功能繞過各種環境(包括虛擬機)中的安全限制,以確定內部路由配置。 另一個使用的工具是新的 CEELOADER 下載器。 黑客甚至設法侵入了 Microsoft Azure 帳戶的活動目錄並竊取了“萬能鑰匙”,這些“萬能鑰匙”可以訪問受影響方的客戶目錄。 最後,黑客設法使用智能手機上的推送通知濫用多因素身份驗證。
Mandiant 研究人員注意到,黑客主要對俄羅斯重要的數據感興趣。 此外,在某些情況下,數據被盜,黑客不得不提供新的入口來攻擊其他受害者。
諾貝爾持續存在的問題
該報告的結論是,Nobelium 的攻擊不會很快停止。 據研究人員稱,黑客繼續改進他們的攻擊技術和技能,以便在受害者網絡中停留更長時間,避免檢測並挫敗恢復操作。