Nhiều ngày sau đó Microsoft, Secureworksvà Tính linh hoạt Bộ Tư pháp Hoa Kỳ (DoJ) hôm thứ Ba cho biết họ đã can thiệp để giành quyền kiểm soát hai tên miền phân phối phần mềm độc hại và lệnh (C2) và điều khiển (C2) và phần mềm độc hại. được sử dụng trong chiến dịch.
DoJ cho biết, vụ thu giữ 1m miền được tòa án cho phép diễn ra vào ngày 28 tháng 5, đồng thời cho biết thêm rằng hành động này nhằm mục đích làm gián đoạn hoạt động khai thác nạn nhân của các kẻ đe dọa cũng như ngăn chặn khả năng xâm phạm hệ thống mới của họ. Tuy nhiên, bộ phận cảnh báo rằng đối thủ có thể đã triển khai thêm các truy cập cửa sau trong khoảng thời gian tạm thời từ khi các thỏa hiệp ban đầu xảy ra và các vụ tịch thu diễn ra vào tuần trước.
“[The] hành động tiếp tục là một minh chứng cho cam kết của Bộ trong việc chủ động ngăn chặn hoạt động hack trước khi kết thúc điều tra hình sự ” nói Trợ lý Bộ trưởng Tư pháp John C. Demers cho Bộ phận An ninh Quốc gia của Bộ Tư pháp. “Việc thực thi pháp luật vẫn là một phần không thể thiếu trong các nỗ lực ngăn chặn rộng lớn hơn của chính phủ Hoa Kỳ chống lại các hoạt động độc hại kích hoạt mạng, ngay cả trước khi bị bắt giữ và chúng tôi sẽ tiếp tục đánh giá tất cả các cơ hội có thể sử dụng các cơ quan chức năng duy nhất của chúng tôi để hành động chống lại các mối đe dọa như vậy.”
Hai miền được đề cập – họardservice[.]com và worldhomeoutlet[.]com – được sử dụng để giao tiếp và điều khiển một đèn hiệu Cobalt Strike được gọi là NativeZone mà các tác nhân đã cấy ghép vào mạng nạn nhân. Chiến dịch quy mô rộng, được phát hiện vào ngày 25 tháng 5, đã sử dụng tài khoản USAID bị xâm phạm tại một công ty tiếp thị qua email hàng loạt có tên Constant Contact để gửi email lừa đảo tới khoảng 3.000 tài khoản email tại hơn 150 tổ chức khác nhau.
Sau khi người nhận nhấp vào liên kết được nhúng trong thư email, một miền phụ của họardservice[.]com đã được sử dụng để đạt được chỗ đứng ban đầu trong máy nạn nhân, khai thác nó để truy xuất cửa hậu Cobalt Strike nhằm duy trì sự hiện diện liên tục và có khả năng cung cấp thêm tải trọng. “Phiên bản của các diễn viên của công cụ Cobalt Strike đã nhận được liên lạc C2 thông qua các miền phụ khác của họardservice[.]com, cũng như tên miền worldhomeoutlet[.]com, “DoJ nói.
Microsoft cho rằng các cuộc xâm nhập liên tục là do Diễn viên đe dọa Nga nó theo dõi như Nobelium và bởi cộng đồng an ninh mạng rộng lớn hơn dưới các biệt danh APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) và Iron Ritual (Secureworks).
Công ty đã xác định từ đó ba phần mềm độc hại khác được sử dụng trong chuỗi lây nhiễm, cụ thể là BoomBox, EnvyScout và VaporRage, bổ sung vào kho vũ khí ngày càng tăng của những kẻ tấn công gồm các công cụ hack như Sunburst, Vết đen, Raindrop, Giọt nước mắt, GoldMax, GoldFinder, Sibotvà Dep Lê, một lần nữa thể hiện các ưu tiên bảo mật hoạt động của Nobelium khi nhắm mục tiêu vào các môi trường tiềm ẩn nhiều rủi ro và khả năng hiển thị cao.
Trong khi BoomBox là trình tải xuống để lấy tải trọng ở giai đoạn sau từ tài khoản Dropbox do diễn viên kiểm soát, VaporRage là trình tải mã shell được sử dụng để tải xuống, giải mã và thực thi tải trọng tùy ý hoàn toàn trong bộ nhớ. Mặt khác, EnvyScout là một công cụ nhỏ giọt độc hại có khả năng giải mã và ghi một tệp ISO độc hại vào đĩa và được gửi dưới dạng tệp đính kèm HTML độc hại cho các email lừa đảo trực tuyến.
Việc kẻ tấn công thực hiện thay đổi chiến thuật nhiều lần trong suốt chiến dịch mới nhất của nó nhấn mạnh thiệt hại trên diện rộng có thể gây ra cho các nạn nhân, cơ quan chính phủ, tổ chức phi chính phủ và doanh nghiệp tư nhân, chưa kể phản ánh mô hình thiết lập quyền truy cập của nó trên một hệ thống hoặc tài khoản và sau đó sử dụng nó như một điểm nhảy để có quyền truy cập vào nhiều mục tiêu.
Các nhà nghiên cứu lưu ý rằng “khác biệt đáng kể” so với vụ hack SolarWinds bằng cách phát triển các công cụ và thủ công của nó, hoạt động của modus cho phép mức độ tàng hình cao cho phép chúng không bị phát hiện trong thời gian dài, các nhà nghiên cứu lưu ý.
“Nobelium là một tổ chức hoạt động với nhịp độ hoạt động nhanh chóng, thường tận dụng cơ sở hạ tầng tạm thời, tải trọng và các phương pháp để làm xáo trộn các hoạt động của họ”, Microsoft cho biết. “Các mẫu thiết kế và triển khai như vậy, cũng bao gồm tổ chức các tải trọng trên một trang web bị xâm phạm, cản trở các hiện vật truyền thống và điều tra pháp y, cho phép các tải trọng duy nhất vẫn chưa được phát hiện.”
