Microsoft, Rus sırtlı Nobelium tehdit grubunun geçen yılın arkasındaki Solarwinds Hack'in arkasındaki Global BT tedarik zincirini hala hedef alıyor, 140 yönetilen servis sağlayıcısı (MSPS) ve bulut servis sağlayıcıları saldırdı ve en az 14 Mayıs 2021'den bu yana ihlal etti.
Bu kampanya, Nobelium'un yaklaşımının tüm işaretlerini, hizmet sağlayıcılarını ihlal ederek önemli bir hedef listesini ödün vermeye yöneliktir.
Tıpkı önceki saldırılarda olduğu gibi, Rus devlet bilgisayar korsanları, kötü amaçlı yazılımlardan, şifre spreylerinden ve belirteç hırsızlığından API kötüye kullanımı ve mızrak kimlik avı için uzun bir araç ve taktik listesi de dahil olmak üzere çeşitli ve sürekli değişen bir araç seti kullandılar.
Bu yeni saldırıların temel hedefleri, bulut hizmetlerini ve benzer teknolojiyi müşterileri için dağıtan ve yöneten satıcılar ve teknoloji hizmetleri sağlayıcılarıdır.
Microsoft, onları tespit ettikten sonra saldırıların hedeflerini etkilediğini ve ayrıca gelecekte izinsiz girişim girişimlerini belirlemesini sağlayan tehdit koruma ürünlerine de tespit etmiştir.
Microsoft, "Mayıs ayından bu yana, Nobelium tarafından hedeflenen 140'den fazla satıcı ve teknoloji hizmet sağlayıcısına haber verdik" dedi.
"Araştırmaya devam ediyoruz, ancak bugüne kadar bu satıcının 14'ünün ve servis sağlayıcılarının tehlikeye girdiğine inanıyoruz."
Burt ek olarak, hepsinde, 600'den fazla Microsoft Müşteri, Temmuz ve Ekim ayları arasında çok düşük bir başarı oranı olmasına rağmen binlerce kez saldırıya uğradı.
"Bu saldırılar bu yaz bu yazın daha büyük bir nobelium aktivitesinin bir dalgasının bir parçası olmuştur. Aslında, bu yıl 1 Temmuz - 19 Ekim arasında, 609 müşteriyi Nobelium tarafından 22.868 kata saldırdıklarını, düşük bir başarı oranı ile tek hane, "dedi Burt.
"Karşılaştırma, 1 Temmuz 2021'den önce, müşterileri son üç yıl boyunca tüm ulus-devlet aktörlerinden 20.500 kez saldırılar hakkında bilgilendirdik."
Bu, Nobelium'un, SolarWinds 'sistemlerinin, ilgi hedeflerinin sistemlerine uzun vadeli erişim ve casusluk ve exfiltrasyon kanalları kurması için uzun vadeli erişim kazandıktan sonra, SolarWinds' sistemlerinin ihlal edildikten sonra atılanlara benzer saldırıları başlatmaya çalıştığını göstermektedir.
Microsoft ayrıca, MSPS, bulut servis sağlayıcıları ve diğer teknik org'lerin ağlarını ve müşterilerini bu devam eden Nobelium saldırılarından korumak için önlemlerini paylaştı.
Nobelium, Rus Yabancı İstihbarat Servisi'nin (SVR) hack bölünmesi, ayrıca apt29, rahat ayı ve dukes olarak izlenir.
2021 Nisan'da, ABD hükümeti, SOSWIND'leri "geniş kapsamlı siber casusluk kampanyası" koordine etmek için SVR bölünmesini resmen suçladı.
Temmuz ayının sonunda, ABD Adalet Bakanlığı, 27 ABD avukatlarının ofisinin Solarwinds Global Hacking Spree'de ihlal edildiğini ifşa etmek için en son govt varlığıydı.
Mayıs ayında, Microsoft Thimat Intelligence Center (MSTIC) ayrıca 24 ülkeden devlet kurumlarını hedef alan bir kimlik avı kampanyası bildirmiştir.
Bu yılın başlarında, Microsoft detaylı üç nobelium kötü amaçlı yazılım suşu, tehlikeye atılan ağlarda kalıcılığı korumak için kullanılan üç nobelium malware suşu: 'GoldMax,' 'Goldfinder' olarak izlenen bir HTTP Tracer aracı 'Goldfinder' olarak izlenen bir HTTP Tracer aracıdır. '
İki ay sonra, saldırılarında kullanılan dört kötü amaçlı yazılım ailesini ortaya çıkardılar. Nativezone. '
Solarwinds Hackers tarafından geliştirilen yeni tomiris backdoor
Autodesk, Rus Solarwinds Hackerları tarafından hedeflendiğini ortaya koyuyor
Microsoft: Rus devlet bilgisayar korsanları ABD Govt ajanslarına saldırıların% 53'ünde
Google, 2021'de 50.000 devlet destekli saldırıların uyarısı gönderdi
Rus devlet bilgisayar korsanları, ikincil arka kapı olarak yeni Tinyturla kötü amaçlı yazılım kullanıyor
Kaynak: Bleeping Computer