Microsoft har varnat för att Nobelium, hackergruppen bakom SolarWinds-fiaskot, har riktat sig mot minst 140 återförsäljare och leverantörer av teknologitjänster i globala IT-försörjningskedjor.
Den 24 oktober Tom Burt, Microsoft Corporate Vice President för kundsäkerhet & amp; Trust sa i en rådgivning att gruppen för avancerade persistent hot (APT), av ryskt ursprung, nu har svängt till återförsäljare av mjukvara och molntjänster för att “piggyback på all direkt åtkomst som återförsäljare kan ha till sina kunders IT-system.”
Redmond -jätten säger att Nobeliums senaste kampanj upptäcktes i maj i år och inte mindre än 140 företag har riktats, med 14 bekräftade fall av kompromisser.
Nobelium var ansvarigt för SolarWinds-intrånget, avslöjat av Microsoft och FireEye (nu känt som Mandiant) i december 2020.
SolarWinds-system bröts och en uppdatering för Orion-programvaran förgiftades och distribuerades senare till cirka 18 000 kunder.
APT valde sedan ut ett litet antal högprofilerade mål att utnyttja, inklusive Microsoft, FireEye, Department of Homeland Security (DHS), Cybersecurity and Infrastructure Agency (CISA) och USA:s finansminister.
Efter att den skadliga uppdateringen drivits genom SolarWinds legitima kanaler, planterades skadlig programvara på dessa system, inklusive Sunburst/Solorigate-bakdörren.
Microsoft uppskattar att bedriften kan ha tagit ansträngningar från upp till 1 000 ingenjörer. Den senaste vågen av attacker verkar dock inte utnyttja några specifika sårbarheter eller säkerhetsbrister; istället förlitar sig gruppen på spray-and-pray-referensfyllning, nätfiske, API-missbruk och token-stöld i försök att få kontouppgifter och privilegierad tillgång till offrens system.
Den nya kampanjen är en del av de ryska hotaktörernas bredare aktiviteter. Mellan 1 juli och 19 oktober har Microsoft varnat 609 kunder för 22 868 hackningsförsök, även om företaget noterar att framgången ligger i “låga ensiffriga siffror”.
Före den 1 juli uppmärksammade Microsoft kunder på totalt 20 500 försök till hackerattacker i nationalstaterna, inklusive en tidigare nätfiskekampanj som lanserats av Nobelium och som imiterade USAID.
“Denna senaste aktivitet är ytterligare en indikator på att Ryssland försöker få långsiktig, systematisk tillgång till en mängd olika punkter i teknikens leveranskedja och [att] etablera en mekanism för att övervaka – nu eller i framtiden – mål av intresse till den ryska regeringen “, kommenterade Microsoft. “Lyckligtvis har vi upptäckt den här kampanjen under dess tidiga skeden, och vi delar med oss av denna utveckling för att hjälpa återförsäljare av molntjänster, teknikleverantörer och deras kunder att vidta lämpliga åtgärder för att säkerställa att Nobelium inte blir mer framgångsrik.”
Microsoft har informerat alla berörda leverantörer och har också släppt teknisk vägledning som beskriver hur Nobelium försöker flytta i sidled över nätverk för att nå nedströms kunder.
I ett uttalande sade Mandiant SVP och CTO, Charles Carmakal, att företaget har undersökt flera fall av misstänkta ryska cyberattacker, varav leveranskedjans relationer mellan teknikleverantörer och kunder har utnyttjats.
“Medan SolarWinds supply chain attack involverade skadlig kod som infogats i legitim programvara, har det mesta av denna senaste intrångsaktivitet involverat utnyttjande av stulna identiteter och nätverk av tekniska lösningar, tjänster och återförsäljarföretag i Nordamerika och Europa för att i slutändan få tillgång till organisationers miljöer som är mål för den ryska regeringen”, kommenterade Carmakal.
Tidigare och relaterad täckning
Tomiris bakdörrsupptäckt kopplad till Sunshuttle, DarkHalo-hackare
Microsoft varnar för den aktuella Nobelium-nätfiskekampanjen som imiterar USAID
Microsoft-varning: Denna skadliga programvara skapar en “ihållande” bakdörr för hackare
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499 eller över på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 