持续的多供应商进入Solarwinds Mega-Hack的调查本周在未来供应链攻击中发现新的恶意软件工件进行了另一个扭曲。
根据反恶意软件公司SentineLone的一个新报告,归因于APT29 / Nobelium威胁演员的最新攻击浪潮包括自定义下载器,是乌克兰政府使用的电子钥匙的“中毒更新安装程序”的一部分。
SentineLone主要威胁研究员JuanAndrésGuerrero-Saade于博客文章中记录了最新的发现,这些发现是从微软和庞大的先前调查。 “此时,分发方式[用于中毒更新安装程序]是未知的。 Saade说,这些更新档案可以作为区域特定供应链攻击的一部分使用。
Guerrero-Saade表示,与Nobelium相关的恶意软件活动的最新迭代使用了一个卷曲的多级感染链,延长了五到六层。这包括使用“DLL_Stageless”下载器,称为NoviNZONE,它是用于政府运营中使用的乌克兰加密SmartKey的Booby被困的更新安装程序。
Guerrero-Saade对该活动的分析发现,作为“早期侦察员”的钴罢工信标有效载荷,可直接选择唯一有效载荷的唯一有效载荷。 “经过多年的自定义工具包的烧毁迭代,[此APT]选择通过简单地降低他们的前期投资来最大化投资回报率。”
“由于我们缺乏进入其分配手段的可见性,因此”我们停止将此作为供应链攻击。中毒安装人员可以直接向依赖此区域解决方案的相关受害者提供。或者,攻击者可能已经找到了一种滥用内部资源来分配恶意“更新”的方式,“Guerrero-Saade说。