NOBELIUM nutzt SOLARDEFLECTION C2-Infrastruktur für Markenmissbrauch

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht beschreibt die einzigartige Infrastruktur, die von der vom russischen Staat gesponserten Bedrohungsaktivitätsgruppe NOBELIUM verwendet wird. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Analyse aus Open-Source-Berichten identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, DomainTools, PolySwarm, Farsight, Shodan, Censys, Pure Signal ™ von Team Cymru und andere gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu den Aktivitäten der russischen Regierung im Cyberspace und zu Netzwerkverteidigern befassen. Einige technische Details aus unserer ursprünglichen Forschung wurden in diese Berichtsversion nicht aufgenommen, um Tracking-Techniken und laufende Forschungen zur NOBELIUM-Aktivität zu schützen.

Executive Summary

Die Insikt Group von Recorded Future überwacht weiterhin vom russischen Staat geförderte Cyber-Spionageoperationen, die sich gegen staatliche und private Organisationen in mehreren geografischen Regionen richten. Ab Mitte 2021 zeigte die Mittelpunktserfassung von Recorded Future einen stetigen Anstieg der Nutzung der NOBELIUM-Infrastruktur, die von der Insikt Group als SOLARDEFLECTION verfolgt wird und die Befehls- und Kontrollinfrastruktur (C2) umfasst. In diesem Bericht heben wir Trends hervor, die der Insikt Group bei der Überwachung der SOLARDEFLECTION-Infrastruktur und der wiederkehrenden Verwendung von Typosquat-Domains durch ihre Betreiber aufgefallen sind.

Ein Schlüsselfaktor, den wir bei an Bedrohungsaktivitäten beteiligten NOBELIUM-Betreibern beobachtet haben, ist die Abhängigkeit von Domänen, die andere Marken imitieren (einige davon sind legitime und einige sind wahrscheinlich fiktive Unternehmen). Domänenregistrierungen und Typosquats können Spearphishing-Kampagnen oder Weiterleitungen ermöglichen, die eine Bedrohung für die Netzwerke und Marken der Opfer darstellen.

Durch eine Kombination aus proaktiver Erkennung gegnerischer Infrastrukturen, Domänenanalysetechniken und aufgezeichneter zukünftiger Netzwerkverkehrsanalyse haben wir ermittelt, dass sich die Nutzung der SOLARDEFLECTION-Infrastruktur durch NOBELIUM mit anderen gängigen Infrastrukturtaktiken, -techniken und -verfahren (TTPs) überschneidet, die der Gruppe zuvor von mehreren Organisationen zugeschrieben wurden, darunter Microsoft, Fortinet, Sekoia und Volexity. Frühere Berichte zu Open Source hoben auch die Verwendung gecrackter Versionen des Penetrationstest-Tools Cobalt Strike durch NOBELIUM hervor.

Wichtige Urteile

• Die Insikt Group ist davon überzeugt, dass die identifizierte SOLARDEFLECTION-Infrastruktur der Bedrohungsaktivitätsgruppe zugeschrieben werden kann, die öffentlich als NOBELIUM gemeldet wurde. Diese Annahme gründet sich auf die Verwendung überlappender Netzwerkinfrastrukturen, die in öffentlichen Berichten zuvor NOBELIUM zugeschrieben wurden, sowie auf einzigartigen Variationen von Cobalt Strike, die traditionell von der Gruppe verwendet werden.
• Zu den allgemeineren Themen der Typosquats von SOLARDEFLECTION C2 gehörte der Missbrauch von Marken in mehreren Branchen, insbesondere in der Nachrichten- und Medienbranche.
• Mit der SOLARDEFLECTION-Überwachung in Zusammenhang stehende Cobalt-Strike-Server, die zuvor auch mit der NOBELIUM-Aktivität verknüpft waren, verwendeten geänderte Serverkonfigurationen, wahrscheinlich in dem Versuch, von Forschern unentdeckt zu bleiben, die aktiv nach Standardfunktionen der Cobalt-Strike-Server suchten.
• NOBELIUM macht in SSL-Zertifikaten in großem Umfang Gebrauch von Typosquat-Domänen und wird bei der Nutzung der Cobalt Strike-Tools wahrscheinlich auch weiterhin irreführende Techniken einsetzen, darunter die Typosquat-Umleitung.

Hintergrund

Eine Analyse der jüngeren und früheren Domänen, die NOBELIUM zugeschrieben werden, zeigt im Großen und Ganzen die Vertrautheit der Gruppe mit einer Vielzahl von Medien-, Nachrichten- und Technologieanbietern sowie ihre Tendenz zur Nachahmung dieser Anbieter. Die Gruppe hat die dynamische DNS-Auflösung missbraucht, um zufällig generierte Subdomänen für ihre C2s oder Stammdomänen zu erstellen und aufzulösen und so die Opfer in die Irre zu führen. Der entscheidende Aspekt dieser Angriffe ist die Verwendung von E-Mail-Adressen oder URLs, die der Domäne einer legitimen Organisation ähneln. Potenziell schädliche Domänenregistrierungen und Typosquats können Spearphishing-Kampagnen oder Weiterleitungen ermöglichen, die ein erhöhtes Risiko für die Marke oder die Mitarbeiter eines Unternehmens darstellen. Ein erfolgreicher Spearphishing-Angriff hängt von Faktoren wie der Qualität der Nachricht, der Glaubwürdigkeit der Absenderadresse und – im Fall einer umleitenden URL – der Glaubwürdigkeit des Domänennamens ab. Die Insikt Group hat bereits zuvor beobachtet, dass andere russische Nexus- Gruppen Typosquatting zur Unterstützung von Operationen – beispielsweise solchen, die auf die Präsidentschaftswahlen 2020 abzielten – nutzten, um das Vertrauen in die Gültigkeit des betrügerischen Anmeldeportals zu erhöhen, das zum Sammeln der Anmeldeinformationen der Opfer verwendet wurde. Über diese Taktik wurde kürzlich auch in offenen Quellen im Zusammenhang mit Eindringversuchen gegen Einrichtungen in der Ukraine berichtet , die vermutlich der Unterstützung der russischen Invasion in dem Land dienten.

Nach Einschätzung der Insikt Group handelt es sich bei NOBELIUM um eine Bedrohungsaktivitätsgruppe, die im Einklang mit den Zielen des russischen Auslandsgeheimdienstes (SVR) operiert. Die Aufgabe des SVR besteht darin, dem Präsidenten der Russischen Föderation, der Bundesversammlung und der Regierung die Informationen zu liefern, die sie für ihre Entscheidungen in den Bereichen Politik, Wirtschaft, Militärstrategie, wissenschaftlich-technische Strategie und Umwelt benötigen. Der russische Geheimdienst SVR definiert sich als eigenständig, indem er dem russischen Hauptnachrichtendienst (GRU) die Konzentration auf militärische Geheimdienstoperationen gestattet, während sich der SVR auf politische Geheimdienste konzentriert . Dabei handelt es sich allerdings um eine sehr hochrangige Sicht auf diese Operationen. Der SVR führt seine Aufgaben durch die Beschaffung von Informationen über öffentliche und private Quellen mit dem Ziel, strategische Informationen von Organisationen und Einzelpersonen zu sammeln, die wiederum Einfluss auf die strategische Politik und die Entscheidungsträger in den Zielländern haben.

Im Jahr 2021 veröffentlichte Volexity eine Studie über eine mutmaßliche APT29-Phishing-Operation, die auf Nichtregierungsorganisationen (NGOs), Forschungseinrichtungen, Regierungen und internationale Gremien abzielte und dabei Köder mit Wahlbetrugsmotiven verwendete, die angeblich von der US-Behörde für internationale Entwicklung (USAID), einer Regierungsbehörde, gesendet wurden. Am selben Tag veröffentlichte Microsoft auch eine Studie zu umfassenderen TTPs, die in derselben Kampagne zum Einsatz kamen, und schrieb die Aktivitäten NOBELIUM zu, der Gruppe, die hinter den SolarWinds- Einbrüchen steckte. Diese Kampagne zielte bereits im Februar 2021 auf sensible diplomatische und staatliche Stellen ab. Sie gehen davon aus, dass der Bedrohungsakteur diese Informationen genutzt hat, um im Rahmen seiner umfassenderen Kampagne weitere gezielte Angriffe zu starten. Weitere Untersuchungen bestätigten, dass sich ein von der Insikt Group seit 2021 unter der Bezeichnung SOLARDEFLECTION überwachter Infrastrukturcluster mit dieser früheren Berichterstattung überschneidet. Laufende Erkennungen im Sicherheits-Feed des Recorded Future Command and Control halfen bei der Bestätigung der Registrierung neuer Typosquat-Domänen im Zusammenhang mit NOBELIUM-Operationen. Insbesondere haben wir bestätigt, dass mehrere neu identifizierte Typosquats weiterhin die Namenskonventionen oder Themen übernehmen, die ursprünglich bereits im Jahr 2020 als wahrscheinlich mit der NOBELIUM- Berichterstattung verbunden gekennzeichnet wurden.

Abbildung 1: SOLARDEFLECTION-Domänenregistrierungsreferenz in der Recorded Future-Plattform (Quelle: Recorded Future)

Die Recorded Future-Plattform erkennt Typosquatting-Domänen automatisch; jede neu erstellte Domänenentität wird auf Ähnlichkeiten im Typosquatting-Stil mit anderen von Recorded Future beobachteten Domänen geprüft. Ein Beispiel hierfür ist der in Abbildung 1 angezeigte Typosquat „SOLARDEFLECTION“, bei dem es sich aufgrund der Schreibweise der Domäne sehr wahrscheinlich um einen Versuch der NOBELIUM-Betreiber handelte, die Marke T-Mobile zu imitieren. Eine Überprüfung der Häufigkeit, mit der SOLARDEFLECTION-Domains in den letzten zwei Jahren registriert wurden, bestätigte die Tendenz von NOBELIUM, Domains in Zyklen zu registrieren, wobei gelegentlich kurze Pausen eingelegt werden, die zeitweise wahrscheinlich mit neuen Open-Source-Berichten zusammenfielen, in denen mehrere Domains der NOBELIUM-Aktivität zugeschrieben wurden (wie in der Recorded Future-Zeitleiste unten dargestellt).

Abbildung 2: SOLARDEFLECTION Typosquat-Registrierungszeitleiste (Quelle: Recorded Future Data)

Die Insikt Group erkennt SOLARDEFLECTION-Infrastrukturen proaktiv durch ein tiefgreifendes Verständnis der von der Gruppe eingesetzten Infrastruktur-TTPs (weiter unten im Abschnitt „Infrastruktur-TTPs“). Darüber hinaus ermöglicht uns der Command and Control-Datensatz, alle SOLARDEFLECTION-IPs anzureichern und zu identifizieren, die wir als „positiv C2“ kategorisiert haben. Anschließend analysieren wir die Netzwerkkommunikation, um zu untersuchen, wie C2 mit infizierten Maschinen interagiert oder wie es vom Angreifer verwaltet wird. SOLARDEFLECTION C2s können im Command and Control-Datensatz der Recorded Future Platform überprüft werden.

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.