Зловреден софтуер Ceeloader
Групата Nobelium APT (Advanced Persistent Threat) продължава да бъде активна в пейзажа на кибершпионажа. Този път дейността на хакерите беше разкрита от изследователи на infosec. Според констатациите, Nobelium все още се насочва към доставчици на облак и MSP (управлявани доставчици на услуги) като средство за получаване на първоначален достъп до вътрешните мрежи на техните истински цели. Изследователите също така отбелязват, че кибергангът продължава да разкрива нови заплахи за злонамерен софтуер, изработени по поръчка, този път под формата на ново изтегляне на име Ceeloader.
Съдържание
Персонализиран злонамерен софтуер
Заплахата е написана на C и може да изпълнява полезни натоварвания на шелкод в паметта, без да е необходимо да ги записва на диск. За да комуникира със своя сървър за командване и управление (C2, C&C), заплахата използва HTTP, докато входящият трафик се криптира с AES-256 в режим CBC. Ceeloader се разгръща в компрометираните системи чрез маяк Cobalt Strike и не установява никакъв собствен механизъм за постоянство. Основната му задача е да извлича и разгръща полезните товари от следващия етап на атаката.
Техники за избягване
За да направи откриването толкова по-трудно, Ceeloader езамъглено силно. Обажданията, които прави към API на Windows, са разбъркани сред големи парчета нежелан код. Nobelium използва и други методи за избягване, като жилищни IP адреси като прокси сървъри, VPS и VPN преди достъп до компрометираната среда и др. В някои случаи изследователите успяха да идентифицират полезни товари от втория етап, инжектирани в нарушени сървъри на WordPress. В кампаниите хакерите са използвали легитимни системи, хоствани от Microsoft Azure, очевидно поради факта, че техните IP адреси са били в непосредствена близост до компрометираната мрежа.
Спонсорирана от нацията група
Nobelium е името, дадено от Microsoft на заплахата, отговорна за масовата атака на веригата за доставки на SolarWinds. Същата група APT се проследява и като APT29 , Cosy Bear и Dukes. Доказателствата сочат, че групата или има силни връзки с Русия, или е направо хакерско подразделение на Службата за външно разузнаване на страната.
Nobelium е напреднала хакерска група със значителни ресурси, която има достъп до множество персонализирани заплахи и инструменти за злонамерен софтуер. Неговите операции са насочени към американски агенциипредимно с цел придобиване на чувствителна информация. Последните дейности на групата следват този модел, като хакерите са наблюдавани да ексфилтрират множество документи от своите жертви, за които се смята, че съдържат информация от особен интерес за Русия.
