Хакеры использовали разнообразный и постоянно меняющийся инструментарий, включающий длинный список инструментов и тактик, от вредоносных программ, распыления паролей и кражи токенов до злоупотреблений API и целевого фишинга. Основными целями этих новых атак являются реселлеры и поставщики технологических услуг, которые развертывают и управляют облачными сервисами и аналогичными технологиями для своих клиентов.

Microsoft уведомила затронутые цели об атаках после их обнаружения, а также добавила средства обнаружения к своим продуктам защиты от угроз, позволяя будущим жертвам, обнаруживать попытки вторжения.

«С мая мы уведомили более 140 торговых посредников и поставщиков технологических услуг, ставших целью Nobelium, —  сказал Том Берт, корпоративный вице-президент Microsoft. «Мы продолжаем расследование, но на сегодняшний день считаем, что 14 из этих торговых посредников и поставщиков услуг были скомпрометированы». «Эти атаки были частью деятельности Nobelium. Фактически, с 1 июля по 19 октября этого года мы проинформировали 609 клиентов о том, что они подвергались атакам со стороны Nobelium 22 868 раз, а сами атаки имели низкий уровень успешности», — сказал Берт. «Для сравнения, до 1 июля 2021 года мы уведомляли клиентов об атаках со стороны всех субъектов 20 500 раз за последние три года».

Это показывает, что Nobelium все еще продолжает атаки, аналогичные тем, которые они осуществили при взломе систем SolarWind.

Как считает Microsoft, Nobelium - это хакерское подразделение Службы внешней разведки России (СВР), также известное как APT29, Cozy Bear и The Dukes. В апреле 2021 года правительство США официально обвинило подразделение СВР в координации «широкомасштабной кампании кибершпионажа SolarWinds», которая привела к компрометации нескольких правительственных агентств США. В конце июля Министерство юстиции США было последним правительственным учреждением США, сообщившим о взломе 27 офисов прокуроров США во время глобальной хакерской атаки SolarWinds.

Ранее Microsoft подробно рассказала о трех разновидностях вредоносных программ Nobelium, используемых для поддержания устойчивости в скомпрометированных сетях: бэкдор управления и контроля - GoldMax, средство отслеживания HTTP - GoldFinder, средство сохранения данных и средство удаления вредоносных программ под названием Sibot. Два месяца спустя они выявили еще четыре семейства вредоносных программ, которые Nobelium использовал в своих атаках: загрузчик вредоносных программ, известный как BoomBox, загрузчик и программа запуска шелл-кода, известный как VaporRage, вредоносное HTML-вложение, получившее название EnvyScout, и загрузчик с именем NativeZone.