Ceeloader skadelig programvare
Nobelium APT (Advanced Persistent Threat)-gruppen fortsetter å være aktiv i cyberspionasjelandskapet. Denne gangen ble hackernes aktiviteter avslørt av infosec-forskere. I følge funnene retter Nobelium seg fortsatt mot skyleverandører og MSP (Managed Service Providers) som et middel for å få innledende tilgang til de interne nettverkene til deres sanne mål. Forskerne bemerker også at cybergjengen fortsetter å avsløre nye skreddersydde trusler mot skadelig programvare, denne gangen i form av en ny nedlaster kalt Ceeloader.
Innholdsfortegnelse
Tilpasset skadelig programvare
Trusselen er skrevet i C og kan utføre shellcode-nyttelast i minnet uten å måtte skrive dem på disk. For å kommunisere med Command-and-Control-serveren (C2, C&C) bruker trusselen HTTP, mens den innkommende trafikken er kryptert med AES-256 i CBC-modus. Ceeloader distribueres til de kompromitterte systemene via et Cobalt Strike- beacon og etablerer ingen egen utholdenhetsmekanisme. Hovedoppgaven er å hente og distribuere nyttelastene i neste trinn av angrepet.
Unngåelsesteknikker
For å gjøre deteksjon så mye vanskeligere, er Ceeloadertilsløret tungt. Anropene den gjør til Windows API er kryptert blant store biter av søppelkode. Nobelium bruker også andre unndragelsesmetoder, som IP-adresser til boliger som proxyer, VPS og VPN før de får tilgang til det kompromitterte miljøet og mer. I noen tilfeller var forskere i stand til å identifisere andre trinns nyttelast som ble injisert inn i ødelagte WordPress-servere. I kampanjene brukte hackerne tilsynelatende legitime Microsoft Azure-vertsbaserte systemer, tilsynelatende på grunn av det faktum at deres IP-adresser hadde nærhet til det kompromitterte nettverket.
Nasjonsstøttet gruppe
Nobelium er navnet gitt av Microsoft til trusselaktøren som er ansvarlig for det massive SolarWinds forsyningskjedeangrepet. Den samme APT-gruppen spores også som APT29 , Cozy Bear and the Dukes. Bevis tyder på at gruppen enten har sterke bånd til Russland eller direkte er en hackeravdeling av landets utenlandske etterretningstjeneste.
Nobelium er en avansert hackergruppe med store ressurser som har tilgang til flere skreddersydde trusler og verktøy for skadelig programvare. Virksomheten er rettet mot amerikanske byråerhovedsakelig med mål om å innhente sensitiv informasjon. De siste aktivitetene til gruppen følger dette mønsteret, med hackerne som blir observert å eksfiltrere flere dokumenter fra ofrene deres som antas å inneholde informasjon av spesiell interesse for Russland.
