SolarWinds tedarik zinciri saldırısının arkasındaki tehdit aktörü, güvenliği ihlal edilmiş ortamlara kalıcı erişimi sürdürmek için kullanılabilecek başka bir “yüksek oranda hedeflenmiş” istismar sonrası kötü amaçlı yazılımla bağlantılıdır.
dublajlı SihirliWeb Microsoft’un tehdit istihbarat ekipleri tarafından yapılan geliştirme, Nobelium’un amaca yönelik yetenekleri geliştirme ve sürdürme konusundaki kararlılığını yineliyor.
Nobelium, teknoloji devinin Aralık 2020’de SolarWinds’i hedef alan ve yaygın olarak APT29, Cozy Bear veya The Dukes olarak bilinen Rus ulus-devlet hack grubuyla örtüşen sofistike saldırı ile gün ışığına çıkan bir dizi faaliyet için takma adı.
Microsoft, “Nobelium, ABD, Avrupa ve Orta Asya’daki devlet kuruluşlarını, sivil toplum kuruluşlarını (STK’lar), hükümetler arası kuruluşları (IGO’lar) ve düşünce kuruluşlarını paralel olarak hedefleyen çok sayıda kampanya yürüterek son derece aktif olmaya devam ediyor.” Dedi.
FoggyWeb adlı başka bir araçla benzerlikler paylaşan MagicWeb’in, yalnızca bir ortama yüksek düzeyde ayrıcalıklı erişim elde edildikten ve bir AD FS sunucusuna yanal olarak taşındıktan sonra, erişimi sürdürmek ve tahliyeyi önlemek için dağıtıldığı değerlendirildi.
FoggyWeb, Active Directory Federasyon Hizmetleri (AD FS) sunucularından ek yükler sağlamak ve hassas bilgileri çalmak için özel yeteneklerle birlikte gelirken, MagicWeb, gizli erişimi kolaylaştıran sahte bir DLL’dir (“Microsoft.IdentityServer.Diagnostics.dll”nin arka kapılı bir sürümüdür). bir kimlik doğrulama atlama yoluyla bir AD FS sistemi.
Microsoft, “Nobelium’un MagicWeb’i dağıtma yeteneği, AD FS sunucularına yönetici erişimi olan yüksek ayrıcalıklı kimlik bilgilerine erişime sahip olmasına bağlıydı, bu da onlara erişim sağladıkları sistemlerde istedikleri kötü amaçlı etkinlikleri gerçekleştirme yeteneği veriyor” dedi.
Bulgular, dış politika bilgilerine erişme amacıyla NATO’ya bağlı kuruluşları hedefleyen APT29 liderliğindeki bir kampanyanın açıklanmasının hemen ardından geldi.
Özellikle bu, Microsoft 365 hesaplarından e-posta toplamak için Purview Audit (önceden Advanced Audit) adlı bir kurumsal günlük kaydı özelliğinin devre dışı bırakılmasını gerektirir.”APT29, olağanüstü operasyonel güvenlik ve kaçınma taktikleri sergilemeye devam ediyor,” dedi Mandiant.
Aktör tarafından son operasyonlarda kullanılan bir diğer yeni taktik, hareketsiz bir hesapla ilişkili kimlik bilgilerini elde etmek ve çok faktörlü kimlik doğrulama için kaydetmek için bir parola tahmin saldırısının kullanılması ve kuruluşun VPN altyapısına erişmesine izin vermesidir.
APT29, yetenekli olduğu kadar üretken bir tehdit grubu olmaya devam ediyor. Geçen ay, Palo Alto Networks Unit 42, kötü amaçlı yazılım dağıtımı ve diğer ödün verme sonrası eylemler için Dropbox ve Google Drive bulut depolama hizmetlerinden yararlanan bir kimlik avı kampanyasını işaretledi.