SolarWinds 攻击者再次发动供应链攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Nobelium 是微软攻击 SolarWinds 公司触发供应链攻击的黑客组织的命名。SolarWinds 供应链攻击导致多个美国联邦机构被攻陷。Nobelium 组织被指是俄罗斯对外情报服务局 (SVR) APT29 （或称 The Dukes 或 Cozy Bear）的入侵部门。

虽然 Nobelium 组织是使用自定义恶意软件和工具的高阶黑客组织，但仍然留下了可供研究人员进行分析的活动痕迹。研究人员从中发现了该组织使用的战术、技术和程序 (TTP) 以及一款新的自定义下载器 Ceeloader。

此外，研究人员将 Nobelium 组织分为两种各不相同的活动集群，它们被归因于 UNC3004和UNC2652，也就是说 Nobelium 组织是两个相互合作的黑客组织。

从 Mandiant 公司观察到的攻击活动来看，Nobelium 组织继续攻击云提供商和MSPs，以此获得对下游客户网络环境的初始访问权限。

报告指出，“在至少一个实例中，威胁组织找到并攻陷了一个本地 VPN 账户并利用该VPN账户执行侦察并获得对受害者CSP 环境中的内部资源访问权限，最终导致内部域名账户遭攻陷。“

在至少另外一起攻击活动中，Nobelium 组织使用 CRYPTBOT 密码窃取恶意软件窃取了合法的会话令牌，用于在受害者的 Microsoft 365 环境中进行身份验证。

值得注意的是，Nobelium 组织攻陷了单一环境中的多个账户，并将其用于多种功能中，从而在暴露情况下不会使整体运营面临风险。

报告提到，“威胁行动者利用受陷权限账户和 SMB、远程WMI、远程调度任务注册和 PowerShell 在受害者环境中执行命令。它使用这些协议主要是为了执行侦察、在网络分发 beacon (Cobalt Strike)以及运行原生 Windows 命令收割凭据。”

Nobelium 组织开发并利用自定义恶意软件对网络获得后门访问权限，下载更多恶意软件、实施网络追踪、盗取 NTLM 凭据以及执行其它恶意行为。

Mandiant 公司发现了新的自定义下载器 “Ceeloader”，它用 C 语言编写并支持在内存中执行 shellcode payload。该恶意软件已被严重混淆并混用了Windows API 调用和大量垃圾代码来躲避安全软件的检测。Ceeloader 通过 HTTP 通信，而C2 响应使用 CBC 模式中的 AES-256 进行解密。

自定义 Ceeloader 下载器由一个 Cobalt Strike beacon 安装并执行，且不包括可持久性使其在 Windows 启动时自动运行。Nobelium 组织此前曾使用多种自定义恶意软件，如在 SolarWinds 供应链攻击中以及针对美国国际开发署(USAID) 的钓鱼攻击中均使用了恶意软件。

为阻止追踪这些攻击，Nobelium 组织使用了住宅IP地址（代理）、TOR、VPS（虚拟私有服务）和VPN（虚拟私有网络）访问受害者环境。

在某些情况下，Mandiant 还找到了用于托管由 Ceeloader抓取并发布到内存中的第二阶段 payload 的受陷 WordPress 站点。最后，该组织还是用合法的微软 Azure 托管系统，而IP 地址靠近受害者网络。该方法有助于结合外部活动和内部流量，导致研究员无法检测恶意流量并难以开展分析。

Mandiant 公司提醒，Nobelium 组织得活动主要是收集情报，研究员已经发现黑客提取符合俄罗斯政治利益的文档。微软此前将 UNC2652和UNC3004与UNC2452关联在一起。UNC2452 就是发动 SolarWinds 供应链攻击的组织，因此它们均被归为 Nobelium 组织也说得通。Mandiant 公司表示如此归因尚未有足够充分的证据。

防御人员需要注意的是，黑客仍然在利用第三方和可信厂商如 CSPs 等渗透高价值目标网络，因此组织机构必须保持警惕，不断注意新的 IOCs 并将系统更新至最新版本。

Mandiant 公司已更新 UNC2452 白皮书，增加了在2021年攻击活动中观察到的所有新的 TTPs。

白皮书可参见：

https://www.mandiant.com/resources/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452