Nobelium APT

Nobelium APTは、これまで知られていなかったハッカーグループがソフトウェア開発者SolarWindsに対して大規模なサプライチェーン攻撃を行った昨年、サイバースパイの状況で主要なプレーヤーになりました。当時、MicrosoftはSolarigateという名前をハッカー集団に割り当てていましたが、後にNobeliumに変更しました。サイバーセキュリティ会社のFireEyeは、UNC2542の指定の下でグループの活動を追跡しています。

SolarWindsの攻撃

 SolarWindsに対するハッキングでは、Nobeliumがサプライチェーン攻撃の調整に役立つ4つの異なるマルウェア株を展開しました。まず、ハッカーは、 SolarWindsのネットワークの侵害が発生した直後に、ビルドサーバーにSunspotマルウェアをドロップしました。マルウェア株は、SolarWindsの主要製品の1つであるITリソース監視プラットフォームOrionをアセンブルするビルドコマンドを検出するまでビルドサーバーで待機するという単一の目的で設計されました。当時、33,000人以上の顧客がOrionを使用していました。 Sunspotがアクティブ化する適切な状況を特定すると、特定のソースコードファイルを、次のステージのペイロードであるSunburstマルウェアのロードを担当する破損したファイルに密かに置き換えます。その結果、現在トロイの木馬化されたバージョンのOrionが会社のクライアントに配布され、クライアントはそれを実行すると内部ネットワークに感染しました。

 Sunburstは、侵害された組織のシステムからデータを収集し、それをハッカーに中継する偵察ツールとして機能しました。収集された情報は、特定の被害者が攻撃のさらなる拡大を正当化するのに十分重要であるかどうかを判断するために、ノーベリウムによって使用されました。リスクに見合う価値があると見なされたものは、より強力なTeardropバックドアを配備することからなる攻撃の最終段階にさらされました。 Teardropの配信と同時に、Sunburstは、侵害されたシステムでの攻撃者のフットプリントを減らすために、自身を削除するように指示されました。一部の被害者に対して、ハッカーはTeardropを機能的にミラーリングしたが、基盤となるコードが大幅に異なるマルウェア株を配信しました。 Raindropと呼ばれるこのマルウェアの脅威は、前段階のSunburstマルウェアによって直接ドロップされたTeardropとは異なり、エントリポイントを特定できなかったため、研究者を困惑させました。 GoldMax

 研究者が新しいノーベリウム関連のマルウェア株を発見

 ノーベリウムのハッカーは、まだグループを監視しているマイクロソフトとファイアアイの警備会社によって明らかにされたように、彼らの活動を遅くしていません。研究者たちは、サイバー犯罪者の兵器庫に追加されたいくつかの新しいカスタムビルドマルウェア株を目撃しました。これらには以下が含まれます： 

• GoldMax / SunshuttleMalware-洗練されたバックドアの脅威。その主な機能は、Google.com、Facebook.com、Yahoo.com、Bing.comなどの正当なWebサイトURLのリストからリファラーを選択することにより、C2サーバーとの通信によって発生するトラフィックをブレンドする機能です。
•  Sibot Malware-永続性を実現し、C2サーバーから次のステージのペイロードをフェッチして実行することを任務とする第2ステージのドロッパー。その脅迫的なVBScriptファイルは、正当なWindowsタスクに似た名前を想定しており、レジストリに保存されるか、侵害されたシステムのディスクに難読化された形式で保存されます。
•  GoldFinderマルウェア-HTTPトレーサーツールとして機能する高度に特殊化されたマルウェア株。脅威は、パケットがC2サーバーに到達するまでの正確なルートを示します。 GoldFinderは、侵害された組織によって展開されたネットワークセキュリティデバイスによって引き起こされたHTTPプロキシサーバーまたはその他のリダイレクトについて、Nobeliumハッカーに警告することができます。

 ノーベリウムは、脅威となる目標をよりよく達成するのに役立つ、より多くのカスタムメイドのツールを解き放ち続けています。ハッカーはすでにSolarWindsの顧客の18,000人以上を危険にさらすことに成功しました。犠牲者の中には、著名なテクノロジー企業や米国政府機関が含まれていました。