Ceeloader البرامج الضارة
تواصل مجموعة Nobelium APT (التهديد المستمر المتقدم) نشاطها في مجال التجسس الإلكتروني. هذه المرة تم الكشف عن أنشطة المتسللين من قبل باحثين في إنفوسيك. وفقًا للنتائج ، لا يزال Nobelium يستهدف مقدمي الخدمات السحابية و MSP (مزودي الخدمة المدارة) كوسيلة للوصول الأولي إلى الشبكات الداخلية لأهدافهم الحقيقية. لاحظ الباحثون أيضًا أن cybergang يواصل الكشف عن تهديدات برمجيات خبيثة جديدة مخصصة ، هذه المرة في شكل أداة تنزيل جديدة تسمى Ceeloader.
جدول المحتويات
البرامج الضارة المخصصة
التهديد مكتوب بلغة C ويمكنه تنفيذ حمولات كود القشرة في الذاكرة دون الحاجة إلى كتابتها على القرص. للتواصل مع خادم الأوامر والتحكم (C2 ، C&C) ، يستخدم التهديد HTTP ، بينما يتم تشفير حركة المرور الواردة باستخدام AES-256 في وضع CBC. يتم نشر Ceeloader في الأنظمة المخترقة عبر منارة Cobalt Strike ولا تنشئ أي آلية ثبات خاصة بها. وتتمثل مهمتها الرئيسية في جلب ونشر حمولات المرحلة التالية من الهجوم.
تقنيات التهرب
لجعل الكشف أكثر صعوبة ، Ceeloader هوتشويش بشدة. يتم خلط الاستدعاءات التي يجريها مع واجهة برمجة تطبيقات Windows بين أجزاء كبيرة من التعليمات البرمجية غير المرغوب فيها. يستخدم Nobelium أيضًا طرقًا أخرى للتهرب ، مثل عناوين IP السكنية مثل الوكلاء و VPS و VPN قبل الوصول إلى البيئة المعرضة للخطر والمزيد. في بعض الحالات ، تمكن الباحثون من تحديد حمولات المرحلة الثانية التي تم حقنها في خوادم WordPress التي تم اختراقها. في الحملات ، استخدم المتسللون أنظمة مشروعة مستضافة من Microsoft Azure ، نظرًا لحقيقة أن عناوين IP الخاصة بهم كانت قريبة جدًا من الشبكة المخترقة.
المجموعة التي ترعاها الدولة
Nobelium هو الاسم الذي أعطته Microsoft لممثل التهديد المسؤول عن هجوم سلسلة التوريد SolarWinds الضخم. يتم أيضًا تتبع مجموعة APT نفسها مثل APT29 و Cozy Bear و Dukes. تشير الدلائل إلى أن المجموعة إما لها علاقات قوية مع روسيا أو أنها قسم قرصنة صريح تابع لجهاز المخابرات الخارجية في البلاد.
Nobelium عبارة عن مجموعة قرصنة متقدمة ذات موارد كبيرة يمكنها الوصول إلى العديد من تهديدات البرامج الضارة وأدواتها. تستهدف عملياتها الوكالات الأمريكيةفي الغالب بهدف الحصول على معلومات حساسة. تتبع أحدث أنشطة المجموعة هذا النمط ، حيث لوحظ أن المتسللين يسرقون وثائق متعددة من ضحاياهم يعتقد أنها تحتوي على معلومات ذات أهمية خاصة لروسيا.
