Russische Akteure hinter SolarWinds-Übergriff treffen globale Geschäfts- und Regierungsziele

Ein Jahr nachdem jener Kenntniserlangung jener SolarWinds-Lieferkettenkompromittierung 2021 melden Sicherheitsforscher zwei Cluster mutmaßlicher russischer Angriffsaktivitäten, die hinauf globale Unternehmen und Regierungen abzielen. Beiderartig werden mit jener Haufen in Vernetzung gebracht, die hinter jener SolarWinds-Angriffskampagne steht.

Die Ergebnisse stammen von Mandiant, dies die Regsamkeit im Jahr 2021 verfolgt und von „einer anpassungsfähigen und sich entwickelnden Gefahr“ berichtet, die neuartige Taktiken, Techniken und Verfahren (TTPs) einsetzt, um Todesopfer zu verletzen, Fakten zu zusammenschließen und sich seitwärts zu in Bewegung setzen. Die Angreifer im Zusammenhang mit dem SolarWinds-Zwischenfall nach sich ziehen mehrere Einheiten, einschließlich Cloud-Tafelgeschirr-Provider (CSPs), zerschunden und gedeihen sich weiter.

Mandiant verfolgt die beiden Aktivitätscluster denn UNC3004 und UNC2652; es heißt, dass beiderartig mit jener Haufen verbunden sind, die es denn UNC2452 verfolgt, die von Microsoft gleichermaßen denn Nobelium bezeichnet wird.

„Wir sind zuversichtlich, dass welche Cluster – vielleicht bedeutet es, dass es verschiedene Teams oder Einheiten gibt, wir nicht wirklich wissen – mit ihnen ganz verbunden sind [the] SolarWinds-Bedrohungsakteur”, sagt Doug Bienstock, Manager of Incident Response für Mandiant, in einem Interview mit Dark Reading.

In den meisten Fällen umfassten die Aktivitäten nachdem dem Kompromiss den Klauerei von Fakten, die zu Gunsten von russische Interessen relevant waren, schrieben die Mandiant-Forscher in einem Blogbeitrag. In einigen schien jener Klauerei in erster Linie dazu gedacht zu sein, Wege zu schaffen, um hinauf andere Umgebungen des Opfers zuzugreifen. Zu den Zielen gehörten NGOs, Regierungsstellen und Beratungsorganisationen, die mit russischen Interessen involviert sind oder mit ihnen identisch sein könnten. Bisher sind Mandiant zwei solange bis drei zwölf Ziele familiär, die durch welche Regsamkeit im Jahr 2021 gefährdet wurden.

Es sieht so aus, dass die Ziele jener Angreifer je nachdem Ziel unterschiedlich waren. Wie sie hinauf Serviceprovider-Umgebungen und in geringerem Metrik hinauf nachgelagerte Kunden zugegriffen hatten, waren sie an Anmeldeinformationen wissensdurstig, die in beiden Umgebungen weiterhin Berechtigungen hinauf hoher Höhe zuteilen würden, sagt Bienstock. Für jener Monolog von Dienstanbietern suchten sie nachdem Anmeldeinformationen, die es ihnen zuteilen würden, vom Netzwerk des Dienstanbieters in die Netze ihrer Kunden zu wechseln.

Einmal siegreich in einer Kundenumgebung, suchten sie vertrauliche Fakten, die mit russischen Interessen übereinstimmten oder ihnen helfen könnten, welche Interessen zu fördern, erklärte Bienstock.

„Im Allgemeinen werden welche Fakten in den meisten Unternehmen jetzt in Form von E-Mails und E-Mails wie SharePoint- oder OneDrive-Dateien vorliegen“, fügt er hinzu. “Wir sehen größtenteils, dass sie welche Verfahren von Fakten und Personen an die Organisationen urteilen, die notfalls mit diesen russlandbezogenen Themen zu tun nach sich ziehen.”

In jener Toolbox jener Angreifer
Die heute von Mandiant veröffentlichte Regsamkeit geht hinauf dies erste Quartal dieses Jahres zurück und weist viele Ähnlichkeiten mit den Methoden von SolarWinds hinauf, bemerkt er. Angreifer zeigen weiterhin ein hohes Wasserpegel an Fähigkeiten in Bezug hinauf ihre Betriebssicherheit und unternehmen mehrere Schritte, um ihre Aktivitäten zu verbergen und sich in die normalen Aktivitäten jener Benutzer einzufügen, welches die Zuordnung und Verfolgung ihrer Unterbau zu Gunsten von Forscher erschwert.

„Sie zeigen gleichermaßen ein besonderes Geschicklichkeit darin, Techniken schnell zu recherchieren, sie zu iterieren und dann in freier Wildbahn zu implementieren, und sie zielen weiterhin hinauf Microsoft 365 mit einigen ziemlich fortschrittlichen Methoden ab“, fährt Bienstock fort.

Ihre Betriebssicherheit und dies Zeitmaß, mit dem sie ihren Werkzeugkasten an Techniken erweitern können, sind zwei Eigenschaften, die ihm bemerkt werden.

In mindestens einem Kasus hat jener Angreifer ein lokales VPN-Konto kompromittiert und es dann zur Erkundung und zum Zugriff hinauf interne Ressourcen in jener Umgebung des Todesopfer-CSPs verwendet. Damit konnten sie interne Domänenkonten kompromittieren. In einer anderen Kampagne konnten Angreifer mithilfe eines gestohlenen Sitzungstokens hinauf die Microsoft 365-Umgebung eines Opfers zupacken. Später stellte sich hervor, dass manche Systeme mit dem Nachrichtengehalt-Stealer Cryptbot infiziert waren, im Voraus jener Token generiert wurde.

Andere Techniken zusammenfassen die Kompromittierung eines Microsoft Azure AD-Kontos intrinsisch des Mandanten eines CSP in einem einzigen Übergriff; in einem anderen verwendeten Angreifer RDP, um zwischen Systemen mit eingeschränktem Internetzugang zu wechseln. Die Angreifer kompromittierten privilegierte Konten und verwendeten SMB, Remote-WMI, Remote-Registrierung geplanter Aufgaben und PowerShell, um Befehle in Zielnetzwerken auszuführen.

Angreifer nutzen gleichermaßen kombinieren neuen maßgeschneiderten Downloader namens Ceeloader, jener eine Shellcode-Nutzlast entschlüsselt, um sie im Speicher eines Zielgeräts auszuführen. Dieser Downloader ist von VaporRage folgerichtig, einem Downloader, den Microsoft zuvor besprochen hat. Ceeloader wird in jener entscheidenden Winkel eines Eindringens verwendet, wenn Angreifer in die Umgebung eindringen, nur zusätzliche Schadsoftware herunterladen zu tun sein, welches dies zu einer guten Gelegenheit macht, sie zu wiedererkennen und zu verhindern, sagt Bienstock.

“Jene Bedrohungsakteure scheinen sehr wählerisch zu sein, wenn sie ihre eigene Schadsoftware gedeihen und zu welchem Zeitpunkt sie Standardtools verwenden”, fügt er hinzu.

Im Sektor jener Betriebssicherheit fand Mandiant Angreifer, die private IP-Adressbereiche nutzten, um sich in Opferumgebungen zu authentifizieren. Es wird davon ausgegangen, dass dieser Zugriff obig mobile und private IP-Adress-Proxy-Lieferant erhalten wurde, die den Datenverkehr obig mobile Geräte durch Zusammenfassen einer Proxy-Verwendung denn Gegenleistung zu Gunsten von kostenlose Anwendungen und/oder Dienste durchsetzen.

„Dieser Bedrohungsakteur hat damit begonnen, welche Dienste zu nutzen, weil er weiß, dass Verteidiger und Kriminalpolizist inländische ISPs denn ziemlich legitime Regsamkeit erläutern – insbesondere dann, wenn welche Regsamkeit aus einer Region stammt, in jener Ihre Mitwirkender beheimatet sind“, erklärt Bienstock. “Dasjenige zeigt mir, dass sie ihre Fähigkeit, sich in die normale Wirtschaftstätigkeit einzufügen, weiter verfeinern.”