Nobelium, tác nhân gây ra mối đe dọa do thỏa hiệp chuỗi cung ứng SolarWinds lớn, một lần nữa có liên quan đến một loạt các cuộc tấn công nhắm vào nhiều nhà cung cấp giải pháp đám mây, dịch vụ và các công ty đại lý, khi nhóm tấn công tiếp tục tinh chỉnh và trang bị lại các chiến thuật của mình ở mức báo động tốc độ phản ứng với các tiết lộ công khai.
Các cuộc xâm nhập, đang được Mandiant theo dõi dưới hai cụm hoạt động khác nhau UNC3004 và UNC2652, đều có liên quan đến UNC2452, một nhóm mối đe dọa chưa được phân loại, từ đó có liên quan đến cơ quan tình báo Nga. Cụ thể, UNC2652 đã được quan sát thấy nhắm mục tiêu vào các tổ chức ngoại giao bằng các email lừa đảo chứa tệp đính kèm HTML với JavaScript độc hại, cuối cùng làm rơi một Cobalt Strike Beacon vào các thiết bị bị nhiễm.
Các nhà nghiên cứu của Mandiant, Luke Jenkins, Sarah Hawley, Parnian Najafi và Doug Bienstock cho biết trong một báo cáo mới: “Trong hầu hết các trường hợp, hoạt động đăng bài xâm nhập bao gồm việc đánh cắp dữ liệu liên quan đến lợi ích của Nga. “Trong một số trường hợp, hành vi trộm cắp dữ liệu dường như được lấy chủ yếu để tạo ra các tuyến đường mới để truy cập các môi trường nạn nhân khác.”
Tiết lộ được đưa ra đúng một năm sau khi xuất hiện chi tiết về một chiến dịch hack do Điện Kremlin hậu thuẫn đã xâm phạm máy chủ của nhà cung cấp dịch vụ quản lý mạng SolarWinds để phân phối các mã nhị phân phần mềm bị nhiễm độc cho một số khách hàng nổi tiếng, bao gồm cả 9 cơ quan liên bang của Hoa Kỳ.
Nếu bất cứ điều gì, sự phát triển là một dấu hiệu khác cho thấy năng lực của tác nhân đe dọa liên tục “đổi mới và xác định các kỹ thuật và nghề mới để duy trì quyền truy cập liên tục vào môi trường nạn nhân, cản trở việc phát hiện và gây nhầm lẫn cho các nỗ lực phân bổ”, đồng thời nêu bật “hiệu quả của việc tận dụng thứ ba các bên và các mối quan hệ của nhà cung cấp đáng tin cậy để thực hiện các hoạt động bất chính. “
Microsoft trước đây đã gọi Nobelium là “nhà điều hành khéo léo và có phương pháp tuân theo các phương pháp hay nhất về bảo mật hoạt động (OpSec).”
Kể từ khi sự cố SolarWinds được đưa ra ánh sáng, nhóm APT đã được kết nối với một loạt các cuộc tấn công nhằm vào các think tank, doanh nghiệp và các tổ chức chính phủ trên toàn cầu, ngay cả khi một hộp công cụ phần mềm độc hại ngày càng mở rộng đã được đưa vào sử dụng với mục tiêu thiết lập chỗ đứng trong hệ thống bị tấn công và tải xuống các thành phần độc hại khác.
Vào cuối tháng 10 năm 2021, Microsoft đã kết thúc một chiến dịch xâm nhập đã xâm phạm tới 14 khách hàng hạ nguồn của nhiều nhà cung cấp dịch vụ đám mây (CSP), nhà cung cấp dịch vụ được quản lý (MSP) và các tổ chức dịch vụ CNTT khác. Các cuộc tấn công đầu độc hoạt động bằng cách đột nhập vào các nhà cung cấp dịch vụ, sau đó sử dụng quyền truy cập đặc quyền và thông tin đăng nhập của các nhà cung cấp này để tấn công một loạt các tổ chức dựa vào CSP.
Bảo mật hoạt động hàng đầu và thủ công mỹ nghệ tiên tiến
Một số kỹ thuật khác được nhóm kết hợp vào playbook của mình liên quan đến việc sử dụng thông tin đăng nhập có khả năng thu được từ một chiến dịch phần mềm độc hại đánh cắp thông tin do tác nhân bên thứ ba dàn dựng để có được quyền truy cập ban đầu vào các tổ chức, một chuỗi lây nhiễm dẫn đến máy trạm của nạn nhân bị nhiễm phần mềm độc hại CryptBot sau khi duyệt đến các trang web danh tiếng thấp cung cấp phần mềm bị bẻ khóa, chứng thực một báo cáo tương tự từ Red Canary được công bố vào tuần trước.
Cũng được Nobelium sử dụng là một công cụ mới có tên là Ceeloader, một trình tải xuống theo yêu cầu được thiết kế để giải mã tải trọng shellcode để thực thi trong bộ nhớ trên hệ thống bị xâm phạm, cũng như lạm dụng thông báo đẩy trên điện thoại thông minh để phá vỡ các biện pháp bảo vệ xác thực đa yếu tố (MFA) .
Nhà nghiên cứu cho biết: “Trong những trường hợp này, kẻ đe dọa đã có tên người dùng và mật khẩu kết hợp hợp lệ. “Nhiều nhà cung cấp MFA cho phép người dùng chấp nhận thông báo đẩy của ứng dụng điện thoại hoặc nhận cuộc gọi điện thoại và nhấn phím như một yếu tố thứ hai. Kẻ đe dọa đã lợi dụng điều này và đưa ra nhiều yêu cầu MFA tới thiết bị hợp pháp của người dùng cuối cho đến khi người dùng đã chấp nhận xác thực, cho phép kẻ đe dọa cuối cùng có quyền truy cập vào tài khoản. “
Các chiến thuật lưu ý khác bao gồm:
Thỏa hiệp nhiều tài khoản trong một môi trường và sử dụng từng tài khoản đó cho các chức năng khác nhau để hạn chế khả năng hiển thị, Sử dụng kết hợp Tor, Máy chủ riêng ảo (VPS) và Mạng riêng ảo công cộng (VPN) để truy cập môi trường nạn nhân, Lưu trữ tải trọng giai đoạn hai như các đốm màu được mã hóa trên các trang web hợp pháp chạy WordPress và Sử dụng dải địa chỉ IP dân cư để xác thực với môi trường nạn nhân.
Các nhà nghiên cứu cho biết: “Hoạt động xâm nhập này phản ánh một nhóm tác nhân đe dọa có nguồn lực tốt đang hoạt động với mức độ lo lắng cao về an ninh hoạt động”. “Việc lạm dụng bên thứ ba, trong trường hợp này là CSP, có thể tạo điều kiện tiếp cận với nhiều nạn nhân tiềm năng thông qua một thỏa hiệp duy nhất.”
.