Hacker von SolarWinds zielen uff Regierungen und Unternehmen weltweit ab

Nobelium, welcher Bedrohungsakteur, welcher welcher massiven Kompromittierung welcher SolarWinds-Versorgungskette zugeschrieben wird, wurde erneut mit einer Warteschlange von Angriffen in Zusammenhang gebracht, die uff mehrere Cloud-Lösungsanbieter, Dienste und Wiederverkäufer abzielen, da die Hacker-Menge ihre Taktiken in alarmierendem Format weiter verfeinert und umrüstet Zeitmaß wie Reaktion uff öffentliche Enthüllungen.

Die Einbrüche, die von Mandiant unter zwei verschiedenen Aktivitätsclustern UNC3004 und UNC2652 verfolgt werden, werden beiderlei mit UNC2452 in Zusammenhang gebracht, einer nicht kategorisierten Bedrohungsgruppe, die seitdem mit dem russischen Geheimdienst verbunden ist. Es wurde insbesondere beobachtet, dass UNC2652 diplomatische Einrichtungen mit Phishing-E-Mails angreift, die Hypertext Markup Language-Anhänge mit bösartigem JavaScript enthalten, und schließlich ein Cobalt Strike Beacon uff den infizierten Geräten ablegt.

„In den meisten Fällen beinhalteten die Aktivitäten nachher welcher Kompromittierung den Entwendung von Information, die zu Händen russische Interessen relevant sind“, sagten die Mandiant-Forscher Lukentür Jenkins, Sarah Hawley, Parnian Najafi und Doug Bienstock in einem neuen Nachprüfung. “In einigen Fällen scheint welcher Datendiebstahl hauptsächlich dazu zu wirken, neue Wege zu schaffen, um uff andere Umgebungen welcher Todesopfer zuzugreifen.”

Die Enthüllungen kommen genau ein Jahr, nachdem Finessen einer vom Kreml unterstützten Hacker-Kampagne publiziert wurden, die die Server des Netzwerkmanagement-Anbieters SolarWinds durchbrach, um manipulierte Software-Binärdateien an eine Warteschlange hochkarätiger Kunden, darunter neun US-Bundesbehörden, zu verteilen.

Wenn gar, ist die Reifung ein weiterer Rauchzeichen uff die Fähigkeit des Bedrohungsakteurs, kontinuierlich „neue Techniken und Handelstechniken zu erneuern und zu identifizieren, um dauerhaften Zugang zu Opferumgebungen aufrechtzuerhalten, Entlarvung zu verhindern und Attributionsbemühungen zu verwirren“, während synchron die „Wirksamkeit welcher Nutzung dritter“ hervorgehoben wird Parteien und vertrauenswürdige Lieferantenbeziehungen, um schändliche Operationen durchzuführen.”

Microsoft hatte Nobelium zuvor wie „sachkundige und methodische Bediener, die Best Practices zu Händen die Betriebssicherheit (OpSec) befolgen“ bezeichnet.

Seitdem welcher SolarWinds-Zwischenfall publiziert wurde, wurde die APT-Menge mit einer Warteschlange von Angriffen in Zusammenhang gebracht, die sich gegen Denkfabriken, Unternehmen und Regierungsstellen uff welcher ganzen Welt urteilen, obwohl eine ständig wachsende Schadsoftware-Toolbox mit dem Ziel eingesetzt wurde in dem angegriffenen System Käsemauke zu fassen und andere bösartige Komponenten herunterzuladen.

Finale zehnter Monat des Jahres 2021 hat Microsoft eine Einbruchskampagne verschlossen, die solange bis zu 14 nachgelagerte Kunden mehrerer Cloud-Tafelgeschirr-Provider (CSP), Managed Tafelgeschirr Provider (MSP) und anderer IT-Dienstleistungsunternehmen kompromittiert hat. Die Poisoning-Angriffe funktionierten, während sie in die Dienstanbieter einbrachen und anschließend den privilegierten Zugang und die Anmeldeinformationen dieser Versorger nutzten, um eine Vielzahl von Organisationen zu treffen, die sich uff die CSPs verließen.

Erstklassige Betriebssicherheit und fortschrittliches Handwerk

Manche welcher anderen Techniken, die die Menge in ihr Playbook integriert hat, daherkommen die Verwendung von Anmeldeinformationen, die notfalls aus einer von einem Drittanbieter inszenierten Schadsoftware-Kampagne zum Entwendung von Informationen stammen, um zusammensetzen ersten Zugang zu Organisationen zu erhalten, eine Infektionskette, die zu den Workstations welcher Todesopfer führte mit CryptBot-Schadsoftware infiziert, nachdem sie Websites mit weniger bedeutend Reputation besucht hatten, die gecrackte Software bereithalten, welches zusammensetzen ähnlichen Nachprüfung von Red Canary bestätigt, welcher letzte Woche veröffentlicht wurde.

Außerdem setzt Nobelium ein neues Tool namens Ceeloader ein, ein maßgeschneiderter Downloader, welcher entwickelt wurde, um eine Shellcode-Nutzlast zu entschlüsseln, um sie im Speicher des kompromittierten Systems auszuführen, sowie den Misshandlung von Push-Benachrichtigungen uff Smartphones, um den Sicherheit welcher Multi-Kennzeichen-Authentifizierung (MFA) zu umgehen .

“In diesen Fällen hatte welcher Angreifer eine gültige Komposition aus Benutzername und Passwort”, sagte welcher Forscher. „Viele MFA-Versorger zuteil werden lassen es den Benutzern, wie zweiten Kennzeichen eine Push-Notifizierung einer Telefon-App zu goutieren oder zusammensetzen Telefongespräch entgegenzunehmen und eine Taste zu knuddeln. Dieser Bedrohungsakteur hat dies ausgenutzt und mehrere MFA-Anforderungen an dasjenige legitime Gerät des Endbenutzers gesendet, solange bis welcher Benutzer hat die Authentifizierung akzeptiert, wodurch welcher Bedrohungsakteur schließlich Zugriff uff dasjenige Konto erhält.”

Andere bemerkenswerte Taktiken sind:

• Kompromittierung mehrerer Konten in einer Umgebung und Verwendung jedes dieser Konten zu Händen unterschiedliche Funktionen, um dasjenige Risiko zu begrenzen,
• Verwenden einer Komposition aus Treffer, Virtual Private Servers (VPS) und öffentlichen Virtual Private Networks (VPN), um uff Opferumgebungen zuzugreifen,
• Hosten von Payloads welcher zweiten Stufe wie verschlüsselte Blobs uff legitimen Websites, uff denen WordPress vollzogen wird, und
• Verwenden von privaten IP-Adressbereichen zur Authentifizierung im Zusammenhang Opferumgebungen.

“Jene Eindringungsaktivität spiegelt eine gut ausgestattete Menge von Bedrohungsakteuren wider, die mit einem hohen Wasserpegel an Sorge um die Betriebssicherheit funktionieren”, sagten die Forscher. “Dieser Misshandlung eines Dritten, in diesem Kasus eines CSP, kann durch zusammensetzen einzigen Kompromiss den Zugang zu einer Vielzahl potenzieller Todesopfer vereinfachen.”