Nobelium APT

Nobelium APT-Beschreibung

Das Nobelium APT wurde im vergangenen Jahr zu einem wichtigen Akteur in der Cyberspionagelandschaft, als die bisher unbekannte Hacker-Gruppe einen massiven Supply-Chain-Angriff gegen den Softwareentwickler SolarWinds durchführte. Zu dieser Zeit wies Microsoft dem Hacker-Kollektiv den Namen Solarigate zu, änderte ihn jedoch später in Nobelium. Das Cybersicherheitsunternehmen FireEye verfolgt die Aktivitäten der Gruppe unter der Bezeichnung UNC2542.

Der SolarWinds-Angriff

 Beim Hack gegen SolarWinds setzte Nobelium vier verschiedene Malware-Stämme ein, mit denen sie den Supply-Chain-Angriff koordinieren konnten. Zunächst haben die Hacker die Sunspot- Malware unmittelbar nach dem Verstoß gegen das SolarWinds-Netzwerk auf einem Build-Server abgelegt. Die Malware-Sorte wurde mit einem einzigartigen Zweck entwickelt - auf dem Build-Server zu warten, bis ein Build-Befehl erkannt wird, der eines der Hauptprodukte von SolarWinds - die IT-Ressourcenüberwachungsplattform Orion - zusammengestellt hat. Zu dieser Zeit nutzten über 33.000 Kunden Orion. Wenn Sunspot die richtigen Umstände für die Aktivierung feststellt, werden bestimmte Quellcodedateien heimlich durch beschädigte ersetzt, die für das Laden der Nutzdaten der nächsten Stufe - der Sunburst- Malware - verantwortlich sind. Infolgedessen wurde die jetzt trojanisierte Version von Orion an die Kunden des Unternehmens verteilt, die dann bei der Ausführung ihre internen Netzwerke infizierten.

 Sunburst fungierte als Aufklärungswerkzeug, das Daten aus den Systemen der kompromittierten Organisation sammelte und sie dann an die Hacker weiterleitete. Die gesammelten Informationen wurden dann von Nobelium verwendet, um zu entscheiden, ob das spezifische Opfer wichtig genug war, um eine weitere Eskalation des Angriffs zu rechtfertigen. Diejenigen, die das Risiko wert waren, wurden der letzten Phase des Angriffs unterzogen, die darin bestand, die mächtigere Teardrop- Hintertür einzusetzen. Gleichzeitig mit der Lieferung von Teardrop wurde Sunburst angewiesen, sich selbst zu löschen, um den Platzbedarf des Angreifers auf dem gefährdeten System zu verringern. Bei einigen wenigen Opfern lieferten die Hacker einen Malware-Stamm, der Teardrop funktional widerspiegelte, sich jedoch in seinem zugrunde liegenden Code drastisch unterschied. Genannt Raindrop, verwirrt diese Malware - Bedrohung , die Forscher , da sie nicht ihre Eintrittspunkt bestimmen kann, im Gegensatz zu Teardrop, die direkt von der vorhergehenden Stufe Sunburst Malware bereitgestellt wurde. GoldMax

 Forscher decken neue Nobelium-bezogene Malware-Stämme auf

 Die Nobelium-Hacker verlangsamen ihre Aktivitäten nicht, wie Microsoft und die FireEye-Sicherheitsfirma offenbaren, die die Gruppe noch überwachen. Die Forscher haben mehrere neue maßgeschneiderte Malware-Stämme gesehen, die dem Arsenal der Cyberkriminellen hinzugefügt wurden. Diese schließen ein: 

  • GoldMax/Sunshuttle Malware - eine ausgeklügelte Backdoor-Bedrohung. Das Hauptmerkmal ist die Möglichkeit, den durch die Kommunikation mit den C2-Servern verursachten Datenverkehr zu mischen, indem Verweise aus einer Liste legitimer Website URLs ausgewählt werden, zu denen unter anderem Google.com, Facebook.com, Yahoo.com und Bing.com gehören.
  •  Die Sibot-Malware - ein Dropper der zweiten Stufe, der die Aufgabe hat, Persistenz zu erreichen und dann die Nutzdaten der nächsten Stufe von den C2-Servern abzurufen und auszuführen. Die bedrohliche VBScript-Datei nimmt einen Namen an, der einer legitimen Windows-Aufgabe ähnelt, und wird dann entweder in der Registrierung oder in einem verschleierten Format auf der Festplatte des beschädigten Systems gespeichert.
  •  Die GoldFinder-Malware - eine hochspezialisierte Malware-Sorte, die als HTTP-Tracer-Tool fungiert. Die Bedrohung bildet die genaue Route ab, die Pakete auf ihrem Weg zu den C2-Servern nehmen. GoldFinder kann dann die Nobelium-Hacker über HTTP-Proxyserver oder andere Umleitungen informieren, die durch Netzwerksicherheitsgeräte verursacht werden, die von der gefährdeten Organisation bereitgestellt werden.

 Nobelium setzt weiterhin maßgeschneiderte Tools ein, mit denen sie ihre bedrohlichen Ziele besser erreichen können. Den Hackern ist es bereits gelungen, über 18.000 Kunden von SolarWinds zu kompromittieren. Unter den Opfern befanden sich prominente Technologieunternehmen und US-Regierungsbehörden.