Gli attacchi APT di NOBELIUM alla catena di fornitura IT globale per spiare i clienti a valle
Indice:
Il famigerato gruppo APT Nobelium colpisce ancora! Questa volta l’attore minaccioso sostenuto dalla Russia prende di mira i fornitori di servizi tecnologici su scala globale per spiare i loro clienti a valle. Gli hacker hanno preso di mira almeno 140 organizzazioni di servizi IT da maggio 2021, e 14 di esse sono state compromesse con successo.
Gruppo APT NOBELIUM
Si ritiene che il gruppo APT NOBELIUM (APT29, CozyBear e The Dukes) sia una divisione hacking segreta del Servizio di Intelligence Estero russo (SVR). È un giocatore relativamente nuovo nella scena delle minacce informatiche, con i primi segnali dell’attività dell’APT tracciati alla fine del 2019. Da allora, NOBELIUM si è guadagnato la reputazione di collettivo di hacker altamente sofisticato, sfruttando un impressionante lotto di campioni di malware personalizzati per procedere con intrusions di rottura.
Inizialmente, NOBELIUM è salito alla ribalta dopo che il governo degli Stati Uniti ha accusato il gruppo di essere dietro l’attacco alla catena di approvvigionamento SolarWinds che ha portato al compromesso di diverse agenzie governative statunitensi. NOBELIUM ha piantato ceppi malevoli nei sistemi di obiettivi di alto profilo come il Dipartimento della Sicurezza Nazionale (DHS), l’Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA) e il Tesoro degli Stati Uniti per raccogliere dati di sorveglianza e ottenere un accesso persistente ai sistemi.
Gli analisti di sicurezza di Microsoft suppongono che NOBELIUM stia aumentando costantemente il livello nella portata e nella sofisticazione delle azioni malevole dell’APT. Dall’inizio del 2021, l’attore minaccioso ha aggiunto diversi nuovi campioni malevoli al toolkit, tra cui Sunburst, Sunspot, Teardrop, Goldmax, Sibot e GoldFinder. A maggio 2021, il gruppo ha lanciato una massiccia campagna di spear-phishing che impersonava USAID per prendere di mira le risorse governative di 24 paesi. E tra il 1 luglio e il 19 ottobre di quest’anno, Microsoft stima oltre 22.868 tentativi di hacking contro 609 venditori.
Attacchi NOBELIUM alla catena di approvvigionamento IT globale
La nuova campagna, scoperta da Microsoft nell’ottobre 2021, condivide tutti gli attributi tipici delle tattiche NOBELIUM. Per raggiungere obiettivi di alto profilo e mantenere l’accesso ai sistemi di interesse, gli attori statali hanno concentrato i loro sforzi sui fornitori di servizi tecnologici.Â
NOBELIUM ha realizzato intrusioni simili all’incidente SolarWinds, penetrando negli account privilegiati dei fornitori di servizi tecnologici per muoversi lateralmente negli ambienti cloud e spiare i clienti downstream. La maggior parte delle intrusioni non ha fatto affidamento su alcuna falla di sicurezza, ma piuttosto su strumenti e tecniche sofisticate, tra cui password spraying, furto di token, attacchi alla catena di approvvigionamento, abuso di API e spear phishing.Â
La campagna ha mostrato che NOBELIUM tenta di stabilire un canale di sorveglianza persistente che consenta agli avversari di spiare obiettivi di interesse per il governo russo. Fortunatamente, la campagna è stata scoperta nelle sue fasi iniziali, quindi i fornitori di servizi IT possono proteggere i loro sistemi contro gli attacchi malevoli di NOBELIUM.
Microsoft ha notificato tutte le organizzazioni interessate e ha emesso una consulenza tecnica per delineare le tattiche e le tecniche di NOBELIUM.
Rilevare Attacchi APT NOBELIUM
Per proteggere l’infrastruttura della tua azienda dagli attacchi di NOBELIUM, puoi scaricare un set di regole Sigma sviluppato dal team di SOC Prime.
Esecuzione Comandi su VM Azure (via azureactivity)
La rilevazione ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Grep Regex, PowerShell di Microsoft, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Esecuzione, Evasione della Difesa, Persistenza, Escalation dei Privilegi e Accesso Iniziale. In particolare, la rilevazione affronta le tecniche di Command and Scripting Interpreter (t1059) e Account Valid (t1078).Â
Aggiornamento delle Credenziali dell’Account Principale del Servizio (via azuread)
La rilevazione ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Grep Regex, PowerShell di Microsoft, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Persistenza. In particolare, la rilevazione affronta la sotto-tecnica delle Credenziali Cloud Aggiuntive (t1098.001) della tecnica di Manipolazione dell’Account (t1098).Â
Accessi Non-interattivi di Utente (via azuread)
La rilevazione ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Grep Regex, PowerShell di Microsoft, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Persistenza e la tecnica di Manipolazione dell’Account (t1098).Â
Segui questo link per trovare più regole di rilevamento che coprono l’attività malevola di NBA APT.
Esplora la piattaforma Detection as Code di SOC Prime per difenderti dagli attacchi più velocemente e con maggiore efficienza che mai. Cerca istantaneamente le minacce più recenti all’interno delle 20+ tecnologie SIEM XDR supportate, aumenta la consapevolezza su tutti gli attacchi più recenti nel contesto delle vulnerabilità sfruttate e della matrice MITRE ATT&CK, e snellisci le operazioni di sicurezza, ottenendo feedback anonimo dalla comunità globale di cybersecurity. Sei entusiasta di creare i tuoi contenuti di rilevamento e di guadagnare per il tuo contributo? Unisciti al nostro Programma di Taglie sulle Minacce!