NOBELIUM APT greift globale IT-Lieferkette an, um nachgelagerte Kunden auszuspionieren

[post-views]
Oktober 26, 2021 · 4 min zu lesen
NOBELIUM APT greift globale IT-Lieferkette an, um nachgelagerte Kunden auszuspionieren

Die berüchtigte APT-Gruppe Nobelium schlägt erneut zu! Diesmal greift der von Russland unterstützte Bedrohungsakteur Technologie-Dienstleister auf globaler Ebene an, um deren nachgelagerte Kunden auszuspionieren. Hacker haben seit Mai 2021 mindestens 140 IT-Dienstleistungsorganisationen ins Visier genommen, von denen 14 erfolgreich kompromittiert wurden.

NOBELIUM APT-Gruppe

Es wird angenommen, dass die NOBELIUM APT-Gruppe (APT29, CozyBear und The Dukes) eine geheime Hackerabteilung des russischen Auslandsgeheimdienstes (SVR) ist. Sie ist ein relativ neuer Akteur im Bereich der Cyber-Bedrohungen, wobei die ersten Anzeichen der Aktivitäten des APT bis Ende 2019 zurückverfolgt werden können. Seitdem hat sich NOBELIUM einen Ruf als hochentwickelte Hackergruppe erworben, die eine beeindruckende Auswahl an maßgeschneiderter Malware nutzt, um bahnbrechende Angriffe durchzuführen.

NOBELIUM geriet erstmals ins Rampenlicht, nachdem die US-Regierung die Gruppe beschuldigt hatte, hinter dem SolarWinds-Lieferkettenangriff zu stehen, der zur Kompromittierung mehrerer US-Regierungsbehörden führte. NOBELIUM platzierte bösartige Programme in die Systeme solch hochkarätiger Ziele wie dem Department of Homeland Security (DHS), der Cybersecurity and Infrastructure Agency (CISA) und dem US-Finanzministerium, um Überwachungsdaten zu sammeln und einen persistenten Backdoor-Zugang zur Infrastruktur zu erhalten.

Sicherheitsanalysten von Microsoft gehen davon aus, dass NOBELIUM ständig die Messlatte hinsichtlich des Umfangs und der Komplexität der Schadaktivitäten des APT anhebt. Seit Anfang 2021 hat der Bedrohungsakteur mehrere neue bösartige Muster in seinen Werkzeugkasten aufgenommen, darunter Sunburst, Sunspot, Teardrop, Goldmax, Sibot und GoldFinder. Im Mai 2021 startete die Gruppe eine massive Spear-Phishing-Kampagne , die sich als USAID ausgab, um Regierungsressourcen in 24 Ländern anzugreifen. Zwischen dem 1. Juli und dem 19. Oktober dieses Jahres schätzt Microsoft mehr als 22.868 Hacking-Versuche gegen 609 Anbieter. over 22,868 hacking attempts against 609 vendors.

NOBELIUM attackiert globale IT-Lieferkette

Die neue Kampagne, die von Microsoft im Oktober 2021 aufgedeckt wurde, weist alle typischen Merkmale der NOBELIUM-Taktik auf. Um hochkarätige Ziele zu erreichen und den Zugang zu interessanten Systemen aufrechtzuerhalten, konzentrierten von Staaten unterstützte Akteure ihre Bemühungen auf Technologie-Dienstleister.

NOBELIUM führte ähnliche Einbrüche wie im SolarWinds-Vorfall durch und drang in die privilegierten Konten von Technologie-Dienstleistern ein, um sich in Cloud-Umgebungen seitwärts zu bewegen und die nachgelagerten Kunden auszuspionieren. Der Großteil der Einbrüche basierte nicht auf Sicherheitslücken, sondern auf ausgeklügelten Werkzeugen und Techniken, einschließlich Passwort-Spraying, Token-Diebstahl, Lieferkettenangriffen, API-Missbrauch und Spear-Phishing.

Die Kampagne zeigte, dass NOBELIUM versucht, einen beständigen Überwachungskanal zu etablieren, der es Gegnern ermöglicht, Ziele von Interesse für die russische Regierung auszuspionieren. Glücklicherweise wurde die Kampagne in ihren frühen Stadien aufgedeckt, sodass IT-Dienstleister ihre Systeme gegen die bösartigen Angriffe von NOBELIUM sichern können.

Microsoft hat alle betroffenen Organisationen benachrichtigt und einen technischen Hinweis herausgegeben, um die Taktiken und Techniken von NOBELIUM zu skizzieren.

Erkennung von NOBELIUM APT-Angriffen

Um Ihre Unternehmensinfrastruktur vor NOBELIUM-Angriffen zu schützen, können Sie eine Reihe von Sigma-Regeln herunterladen, die vom SOC Prime Team entwickelt wurden.

Befehlsausführung auf Azure VM (via azureactivity)

Die Erkennung hat Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

Die Regel ist auf die MITRE ATT&CK-Methodologie abgebildet, die die Methoden Execution, Defense Evasion, Persistence, Privilege Escalation und Initial Access anspricht. Insbesondere behandelt die Erkennung den Command and Scripting Interpreter (t1059) sowie die Valid Accounts (t1078) Techniken.

Aktualisierung der Dienstprinzipalen-Kontoanmeldeinformationen (via azuread)

Die Erkennung hat Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

Die Regel ist auf die MITRE ATT&CK-Methodologie abgebildet, die die Persistence-Methoden anspricht. Insbesondere behandelt die Erkennung die zusätzliche Cloud-Anmeldeinformationen-Untermethode (t1098.001) der Account Manipulation (t1098) Technik.

Nicht-interaktive Benutzeranmeldungen (via azuread)

Die Erkennung hat Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

Die Regel ist auf die MITRE ATT&CK-Methodologie abgebildet, die die Persistence-Taktiken und die Account Manipulation (t1098) Technik anspricht.

Folgen diesem Link , um mehr Erkennungsregeln zu finden, die die bösartigen Aktivitäten der Nobelium APT abdecken.

Erkunden Sie die Detection as Code-Plattform von SOC Prime, um Angriffe schneller und effizienter abzuwehren als je zuvor. Suchen Sie sofort nach den neuesten Bedrohungen in über 20 unterstützten SIEM XDR-Technologien, steigern Sie das Bewusstsein für alle neuesten Angriffe im Kontext ausgenutzter Schwachstellen und MITRE ATT&CK-Matrix und optimieren Sie Ihre Sicherheitsabläufe, während Sie anonymes Feedback von der globalen Cybersicherheits-Community erhalten. Möchten Sie begeisternd eigene Erkennungsinhalte erstellen und für Ihren Beitrag Geld erhalten? Treten Sie unserem Threat Bounty Programm bei!

Zur Plattform Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko