太阳林黑客攻击全球政府和商业实体

诺贝利姆被认为是SolarWinds供应链大规模妥协的威胁参与者，随着该黑客组织继续以惊人的速度改进和重组策略，以应对公开披露，它再次与针对多家云解决方案提供商、服务和转销商公司的一系列攻击相关联

Mandiant在两个不同的活动集群UNC3004和UNC2652下跟踪了这些入侵，它们都与UNC2452有关，后者是一个未分类的威胁组织，后来与俄罗斯情报局联系在一起。特别是，有人观察到UNC2652的目标是外交实体，其钓鱼电子邮件包含恶意JavaScript的HTML附件，最终会在受感染的设备上投放钴击信标

“在大多数情况下，妥协后的活动包括窃取与俄罗斯利益相关的数据，”Mandiant研究人员卢克·詹金斯、萨拉·霍利、帕尼安·纳贾菲和道格·比恩斯托克在一份新报告中说。“在某些情况下，获取数据盗窃似乎主要是为了创建访问其他受害者环境的新路由。”

 

就在一年前，一场由克里姆林宫支持的黑客活动的细节曝光。这场黑客活动破坏了网络管理提供商SolarWinds的服务器，将受污染的软件二进制文件分发给包括九家美国联邦机构在内的一些知名客户

 

如果有什么的话，这一进展再次表明，威胁行为人有能力持续“创新并识别新技术和工艺，以保持对受害者环境的持续访问，阻碍侦查，并混淆归因努力”，同时也强调了“利用第三方和受信任的供应商关系进行恶意操作的有效性。”

 

微软此前曾将Nobelium称为“遵循运营安全（OpSec）最佳实践的熟练且有条不紊的运营商”

 

自从太阳林事件曝光以来，APT集团一直与一系列针对全球智库、企业和政府实体的攻击有关，即使是在一个不断扩展的恶意软件工具箱被用来在被攻击的系统中建立立足点并下载其他恶意组件的情况下

2021年10月下旬，微软发起了一场入侵活动，它破坏了多个云服务提供商（CSP）、管理服务提供商（MSP）和其他IT服务组织的14个下游客户。中毒攻击通过闯入服务提供商，随后使用这些提供商的特权访问和凭据，打击依赖CSP的广泛组织而奏效

一流的运营安全和先进的工艺

该组织在其剧本中采用的一些其他技术涉及使用可能从第三方参与者发起的信息窃取恶意软件活动中获得的凭据，以获得对组织的初始访问权，一个攻击序列导致受害者的工作站在浏览提供破解软件的低信誉网站后感染了CryptBot恶意软件，证实了上周发布的一份来自Red Canary的类似报告

Nobelium还使用了一种名为Ceeloader的新工具，这是一种定制下载程序，旨在解密外壳代码负载，以便在受损系统的内存中执行，以及滥用智能手机上的推送通知来规避多因素身份验证（MFA）保护

“在这些情况下，威胁行为人拥有有效的用户名和密码组合，”研究人员说。“许多MFA提供商允许用户接受手机应用推送通知，或接收电话呼叫并按键作为第二个因素。威胁参与者利用这一点，向最终用户的合法设备发出多个MFA请求，直到用户接受身份验证，允许威胁参与者最终访问电子账户。"

 

在一个环境中折衷多个帐户，并将这些帐户中的每一个用于不同的功能，以限制暴露

• 使用Tor、虚拟专用服务器（VP）和公共虚拟专用网络（VPN）的组合来访问受害者环境
• 在运行WordPress的合法网站上以加密的Blob形式托管第二阶段有效负载，以及
• 使用住宅IP地址范围对受害者环境进行身份验证
•  
“这种入侵活动反映了一个资源充足的威胁参与者，他们对操作安全高度关注，”研究人员说。“滥用第三方，即本案中的CSP，可以通过一个单一的妥协，帮助接触到广泛的潜在受害者。”