SolarWinds’in tedarik zinciri uzlaşmasının arkasındaki tehdit aktörü, bir zamanlar kampanyaların zor doğasının ve düşmanın sürekli erişim sağlama yeteneğinin bir göstergesi olarak, 2019’da saldırılarda kullanılan yeni araçlar ve tekniklerle kötü amaçlı yazılım cephaneliğini genişletmeye devam etti. yıllar.
Siber güvenlik firması CrowdStrike’a göre, yeni taktikleri detaylandırdı Nobelium hack grubu tarafından geçen hafta kabul edilen iki gelişmiş kötü amaçlı yazılım ailesi, saldırıların ölçeği gün yüzüne çıkmadan çok önce, kurban sistemlere – GoldMax’in bir Linux çeşidi ve TrailBlazer adlı yeni bir implant – yerleştirildi.
Aralık 2020’de SolarWinds saldırısı için Microsoft tarafından atanan takma ad olan Nobelium, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) ve Iron adları altında daha geniş siber güvenlik topluluğu tarafından da izleniyor. Ritüel (Secureworks).
Kötü niyetli faaliyetler o zamandan beri Rus devlet destekli bir aktöre atfedildi. APT29 (Dükler ve Rahat Ayı olarak da bilinir), en az 2008’den beri ülkenin Dış İstihbarat Servisi ile ilişkili bir siber casusluk operasyonu.
Mart 2021’de Microsoft ve FireEye tarafından keşfedilen GoldMax (aka SUNSHUTTLE), bir komut ve kontrol arka kapısı görevi gören ve güvenliği ihlal edilmiş makinede rastgele komutlar yürütmek için uzak bir sunucuyla güvenli bir bağlantı kuran Golang tabanlı bir kötü amaçlı yazılımdır. .
Eylül 2021’de Kaspersky, Aralık 2020 ve Ocak 2021’de adı açıklanmayan bir BDT üye devletinde çeşitli hükümet kuruluşlarına karşı kullanılan Tomiris adlı GoldMax arka kapısının ikinci bir varyantının ayrıntılarını açıkladı.
En son yineleme, 2019’un ortalarında kurban ortamlarına yüklenen ve bugüne kadar Windows platformu için oluşturulmuş diğer tüm tanımlanmış örneklerden önce gelen ikinci aşama kötü amaçlı yazılımın daha önce belgelenmemiş ancak işlevsel olarak özdeş bir Linux uygulamasıdır.
Aynı zaman diliminde, saldırganlara siber casusluğa giden bir yol sunan ve aynı zamanda GoldMax ile komuta ve kontrol (C2) trafiğini meşru Google Bildirimleri HTTP istekleri olarak gösterme biçiminde ortak noktaları paylaşan modüler bir arka kapı olan TrailBlazer da teslim edildi.
Oyuncu tarafından saldırıları kolaylaştırmak için kullanılan diğer yaygın olmayan kanallar şunları içerir:
- Yanal hareketi gizlemek için kimlik bilgisi atlamalı
- Office 365 (O365) Hizmet Sorumlusu ve Uygulaması kaçırma, kimliğe bürünme ve manipülasyon ve
- Çok faktörlü kimlik doğrulamayı atlamak için tarayıcı çerezlerinin çalınması
Ek olarak, operatörler, uzun süreler boyunca erişimi sağlamak için zaten güvenliği ihlal edilmiş bir ana bilgisayardan Mimikatz bellek içi parola hırsızı kullanımı da dahil olmak üzere, her seferinde farklı bir teknikten yararlanarak, aylar arayla birden çok alan kimlik bilgisi hırsızlığı örneği gerçekleştirdi.
“Rahat Ayı düşman grubuyla bağlantılı StellarParticle kampanyası, bu tehdit aktörünün Windows ve Linux işletim sistemleri, Microsoft Azure, O365 ve Active Directory hakkındaki kapsamlı bilgisini ve aylarca fark edilmeyecek sabrını ve gizli becerilerini gösteriyor. bazı vakalar, yıllar” dedi araştırmacılar.