Microsoft har advart om at Nobelium, hackergruppen bak SolarWinds -fiaskoen, har rettet seg mot minst 140 forhandlere og teknologitjenesteleverandører i globale IT -forsyningskjeder.
24. oktober Tom Burt, Microsoft Corporate Vice President of Customer Sikkerhet & Trust sa i et råd at gruppen for avansert vedvarende trussel (APT), av russisk opprinnelse, nå har gått over til programvare- og skytjenesteforhandlere for å “piggyback på all direkte tilgang som forhandlere kan ha til kundenes IT-systemer.”< /p>
Redmond-giganten sier at Nobeliums siste kampanje ble oppdaget i mai i år og ikke mindre enn 140 selskaper har blitt målrettet, med 14 bekreftede tilfeller av kompromiss.
Nobelium var ansvarlig for brudd på SolarWinds, avslørt av Microsoft og FireEye (nå kjent som Mandiant) i desember 2020.
SolarWinds -systemer ble brutt og en oppdatering for Orion -programvare ble forgiftet og senere distribuert til omtrent 18 000 kunder.
APT valgte deretter et lite antall høyprofilerte mål å utnytte, inkludert Microsoft, FireEye, Department of Homeland Security (DHS), Cybersecurity and Infrastructure Agency (CISA) og det amerikanske finansdepartementet.
Etter at den ondsinnede oppdateringen ble presset gjennom SolarWinds legitime kanaler, ble skadevare plantet på disse systemene, inkludert Sunburst/Solorigate-bakdøren.
Microsoft anslår at bragden kan ha tatt innsats fra opptil 1000 ingeniører. Den siste bølgen av angrep ser imidlertid ikke ut til å gjøre bruk av noen spesifikke sårbarheter eller sikkerhetsfeil; i stedet er gruppen avhengig av spray-and-pray-legitimasjonsfylling, phishing, API-misbruk og token-tyveri i forsøk på å få kontolegitimasjon og privilegert tilgang til ofrenes systemer.
Den nye kampanjen er en del av de russiske trusselaktørenes bredere aktiviteter. Mellom 1. juli og 19. oktober har Microsoft advart 609 kunder om 22 868 hackingforsøk, selv om selskapet bemerker at suksess er i «lave enkeltsifrede».
Før 1. juli varslet Microsoft kunder om totalt 20 500 forsøk på hackerangrep i nasjonalstaten, inkludert en tidligere phishing-kampanje lansert av Nobelium som utgjorde USAID.
“Denne nylige aktiviteten er en annen indikator på at Russland prøver å få langsiktig, systematisk tilgang til en rekke punkter i teknologiforsyningskjeden og [å] etablere en mekanisme for å overvåke-nå eller i fremtiden-interessemål til den russiske regjeringen,” kommenterte Microsoft. “Heldigvis har vi oppdaget denne kampanjen i de tidlige stadiene, og vi deler denne utviklingen for å hjelpe forhandlere av skytjenester, teknologileverandører og deres kunder til å ta rettidige tiltak for å sikre at Nobelium ikke blir mer vellykket.”
Microsoft har informert alle berørte leverandører og har også gitt ut teknisk veiledning som skisserer hvordan Nobelium forsøker å bevege seg sideveis på tvers av nettverk for å nå nedstrømskunder.
I en uttalelse sa Mandiant SVP og CTO, Charles Carmakal, at firmaet har undersøkt flere tilfeller av mistenkte russiske cyberangrep, hvor forsyningskjedeforhold mellom teknologileverandører og kunder har blitt utnyttet.
“Mens angrepet av leverandørkjeden i SolarWinds involverte ondsinnet kode satt inn i legitim programvare, har det meste av denne siste inntrengningsaktiviteten innebar å utnytte stjålne identiteter og nettverkene til teknologiske løsninger, tjenester og forhandlerbedrifter i Nord -Amerika og Europa for til slutt å få tilgang til miljøer i organisasjoner som er målrettet av den russiske regjeringen,” kommenterte Carmakal.
Tidligere og relatert dekning
Tomiris-bakdørsoppdagelse knyttet til Sunshuttle, DarkHalo-hackere
Microsoft advarer mot gjeldende Nobelium-nettfiskingkampanje som utgir seg for å være USAID
Microsoft-advarsel: Denne skadelige programvaren skaper en 'vedvarende' bakdør for hackere
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 