Microsoft har advaret om, at Nobelium, hackergruppen bag SolarWinds -fiaskoen, har målrettet mindst 140 forhandlere og teknologitjenesteudbydere i globale IT -forsyningskæder.
Den 24. oktober, Tom Burt, Microsoft Corporate Vice President for Customer Security & Trust sagde i en meddelelse, at gruppen med avanceret vedvarende trussel (APT) af russisk oprindelse nu er gået over til software- og cloudserviceforhandlere for at “piggyback på enhver direkte adgang, som forhandlere måtte have til deres kunders it-systemer.”
Redmond -giganten siger, at Nobeliums seneste kampagne blev spottet i maj i år, og ikke mindre end 140 virksomheder er blevet målrettet med 14 bekræftede tilfælde af kompromis.
Nobelium var ansvarlig for SolarWinds-bruddet, afsløret af Microsoft og FireEye (nu kendt som Mandiant) i december 2020.
SolarWinds-systemer blev brudt, og en opdatering til Orion-software blev forgiftet og senere implementeret til cirka 18.000 kunder.
APT valgte derefter et lille antal højprofilerede mål at udnytte, herunder Microsoft, FireEye, Department of Homeland Security (DHS), Cybersecurity and Infrastructure Agency (CISA) og det amerikanske finansministerium.
Efter at den ondsindede opdatering blev skubbet gennem SolarWinds legitime kanaler, blev malware plantet på disse systemer, inklusive Sunburst/Solorigate-bagdøren.
Microsoft vurderer, at bedriften kan have krævet op til 1.000 ingeniører. Den seneste bølge af angreb ser dog ikke ud til at gøre brug af nogen specifikke sårbarheder eller sikkerhedsfejl; i stedet er gruppen afhængig af spray-and-pray legitimationsoplysninger, phishing, API-misbrug og token-tyveri i forsøg på at opnå kontolegitimationsoplysninger og privilegeret adgang til ofrenes systemer.
Den nye kampagne er en del af de russiske trusselsaktørers bredere aktiviteter. Mellem den 1. juli og den 19. oktober har Microsoft advaret 609 kunder om 22.868 hackingforsøg, selvom virksomheden bemærker, at succes er i de “lave enkeltcifrede”.
Før den 1. juli advarede Microsoft kunder om samlede forsøg på nationalstats hackerangreb i alt 20.500 gange, inklusive en tidligere phishing-kampagne lanceret af Nobelium, der efterlignede USAID.
“Denne nylige aktivitet er endnu en indikator på, at Rusland forsøger at få langsigtet, systematisk adgang til en række punkter i teknologiforsyningskæden og [at] etablere en mekanisme til overvågning – nu eller i fremtiden – mål af interesse til den russiske regering,” kommenterede Microsoft. “Heldigvis har vi opdaget denne kampagne i dens tidlige stadier, og vi deler denne udvikling for at hjælpe cloud-serviceforhandlere, teknologiudbydere og deres kunder med at tage rettidigt skridt for at sikre, at Nobelium ikke er mere succesfuld.”
Microsoft har informeret alle påvirkede leverandører og har også frigivet teknisk vejledning, der beskriver, hvordan Nobelium forsøger at bevæge sig på tværs af netværk for at nå nedstrøms kunder.
I en erklæring sagde Mandiant SVP og CTO, Charles Carmakal, at firmaet har undersøgt flere tilfælde af formodede russiske cyberangreb, hvoraf forsyningskædeforhold mellem teknologiudbydere og kunder er blevet udnyttet.
“Mens SolarWinds forsyningskædeangreb involverede ondsindet kode indsat i legitim software, har det meste af denne seneste indtrængningsaktivitet involveret udnyttelse af stjålne identiteter og netværk af teknologiske løsninger, tjenester og forhandlervirksomheder i Nordamerika og Europa for i sidste ende at få adgang til miljøer i organisationer der er målrettet den russiske regering, ”kommenterede Carmakal.
Tidligere og relateret dækning
Tomiris bagdør-opdagelse knyttet til Sunshuttle, DarkHalo-hackere
Microsoft advarer om den aktuelle Nobelium-phishing-kampagne, der efterligner USAID
Microsoft-advarsel: Denne malware skaber en 'vedvarende' bagdør til hackere
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centres 