Mandiant ha pubblicato un nuovo report che illustra le nuove attività e le tattiche utilizzate da un attore della minaccia legato al gruppo autore dell’attacco alla supply chain di SolarWinds, ovvero UNC2452/Nobelium come li definisce Microsoft.
Questo report di Madiant viene reso pubblico pochi giorni prima dell’anniversario della rivelazione da parte di Mandiant dei dettagli della campagna di attacco SolarWinds e illustra come questo gruppo abbia continuato a colpire entità governative, società di consulenza e ONG, che possiedono dati di interesse per il governo russo, in Nord America ed Europa.
Alcuni punti chiave presenti nel report:
- Descrizione delle nuove tattiche utilizzate dall’attore della minaccia per ottenere l’accesso iniziale agli ambienti;
- Rivelazione di un nuovo strumento che ruba le informazioni, denominato “CEELOADER” che scarica ed esegue furtivamente un ulteriore malware sui sistemi già compromessi;
- Approfondimento sulle modalità con cui l’attore della minaccia si è spostato a monte del Cloud Service Provider per infiltrarsi nei clienti;
- Le modalità tramite le quali l’attore della minaccia continua a utilizzare siti WordPress compromessi per ospitare il malware, rendendo scoperta e attribuzione del malware aggiuntivo più difficoltose per i difensori.
Il report di Madiant è disponibile QUI.
