Seguir 
Uma análise recente conduzida pelo Microsoft Threat Intelligence Center e pela Microsoft 365 Defender Research Team revela três amostras maliciosas aplicadas pelo notório Nobelium APT durante o devastador ataque à cadeia de suprimentos da SolarWinds. De acordo com o relatório, o malware de segunda fase recém-descoberto foi usado por adversários para evadir detecção, ganhar persistência e carregar cargas adicionais na rede comprometida.
Backdoors GoldMax, GoldFinder e Sibot
pesquisa da Microsoft detalhes três novas variantes chamadas GoldMax, GoldFinder, e Sibot. Investigação simultânea pela FireEye também aponta para uma nova amostra maliciosa chamada Sunshuttle.
De acordo com os especialistas em segurança, GoldMax (Sunshuttle) é um backdoor sofisticado e nefasto de comando e controle (C&C) de estágio posterior usado para fins de ciberespionagem. Ele aplica técnicas de evasão complexas para misturar o tráfego de C&C e disfarçá-lo como proveniente de sites legítimos, como Google, Yahoo ou Facebook. O servidor controlado pelo APT usado pelo malware foi registrado anonimamente via NameSilo. Este provedor de domínio é frequentemente usado por atores de APT apoiados por nações russas e iranianas.
A segunda ameaça recentemente identificada, GoldFinder, atua como uma ferramenta de rastreamento HTTP personalizada. Ela pode localizar servidores proxy e ferramentas de segurança de rede envolvidas nas comunicações C&C entre o host comprometido e o servidor.
A última amostra de malware, chamada Sibot, é uma ameaça VBScript que serve para conseguir persistência e carregar malware adicional do servidor de um atacante remoto. Para se manter fora do radar, um arquivo VBScript malicioso se passa por tarefas legítimas do Windows e é executado como uma tarefa agendada.
A Microsoft e a FireEye apontam que as cepas de malware personalizadas mencionadas acima foram usadas entre junho e setembro de 2020 nos ataques direcionados contra vários fornecedores. O software malicioso foi utilizado nos últimos estágios da intrusão, logo após obter acesso inicial por meio de credenciais despejadas e movimentação lateral com o malware TearDrop . Notavelmente, as cepas maliciosas foram personalizadas para se adequar a redes específicas, sendo adaptadas para tarefas únicas após a violação. De acordo com a Microsoft, o novo malware possui capacidades aprimoradas e usa padrões de ataque incomuns, o que demonstra a crescente sofisticação dos hackers do Nobelium.
Nobelium APT
Após uma investigação aprofundada no ataque à cadeia de suprimentos da SolarWinds, a Microsoft começou a falar sobre um novo ator de ameaça chamado Nobelium APT. Acredita-se que o novo coletivo de hackers seja um ator estatal altamente habilidoso na evasão de detecção e na ofuscação do código de suas ferramentas maliciosas. Embora a origem dos atacantes seja atualmente desconhecida, os analistas de segurança da Microsoft acreditam que o grupo é afiliado à Rússia.
Apesar de ser um novo jogador no cenário da cibersegurança, o Nobelium já ganhou uma sólida reputação como um ator sofisticado capaz de produzir malware personalizado e lançar operações de ciberespionagem sem precedentes. A comunidade global voltou sua atenção para a nova ameaça depois que os hackers comprometeram com sucesso mais de 18.000 organizações por meio de atualizações Trojanizadas do SolarWinds Orion. A lista de vítimas inclui mais de 452 fornecedores da lista Fortune 500, nove agências federais dos EUA e empresas de segurança líderes mundiais. Em particular, a atividade do grupo foi analisada por diferentes fornecedores de segurança, incluindo a FireEye rastreando como UNC2452, Violexity rastreando o coletivo como DarkHalo, e a Microsoft chamando de Nobelium APT.
Desde seu surgimento no final de 2019, os hackers do Nobelium produziram e utilizaram várias cepas maliciosas personalizadas durante suas intrusões. Especialistas em segurança já identificaram quatro amostras diferentes, incluindo Sunburst, Sunspot, Raindrop, e Teardrop. E cepas recém-descobertas elevam esse número para sete, com GoldMax, GoldFinder, e Sibot na lista.
Detectando Ataques do Nobelium APT
Para detectar possíveis atividades maliciosas do Nobelium APT e defender proativamente contra GoldMax, GoldFinder, e Sibot malware, nossos desenvolvedores especializados em caça a ameaças lançaram regras Sigma comunitárias já disponíveis no Threat Detection Marketplace.
Rundll32.exe .sys Carregamentos de Imagem por Referência
As regras têm traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Execução de Proxy Binário Assinado (T1218)
Para encontrar mais conteúdo de detecção cobrindo ataques do Nobelium APT, recomendamos que você consulte nossos artigos de blog anteriores dedicados à análise da violação da FireEye, Sunburst and Raindrop , ataque Golden SAML , e visão geral do Dark Halo .
Obtenha uma assinatura gratuita para Threat Detection Marketplace, uma plataforma líder mundial de Detecção como Código para conteúdo de SOC que fornece acesso e suporte a mais de 100.000 algoritmos de detecção e resposta para 23+ tecnologias líderes de mercado em SIEM, EDR e NTDR. Quer criar suas próprias detecções e compartilhá-las com a comunidade global de defensores cibernéticos? Junte-se ao nosso Programa de Recompensas de Ameaças!