Programari maliciós Ceeloader
El grup Nobelium APT (Advanced Persistent Threat) continua actiu en el panorama del ciberespionatge. Aquesta vegada, les activitats dels pirates informàtics van ser revelades pels investigadors de l'infosec. Segons les conclusions, Nobelium encara s'orienta als proveïdors de núvol i als MSP (Proveïdors de serveis gestionats) com a mitjà per obtenir un accés inicial a les xarxes internes dels seus veritables objectius. Els investigadors també assenyalen que el cybergang continua revelant noves amenaces de programari maliciós personalitzades, aquesta vegada en forma d'un nou descarregador anomenat Ceeloader.
Taula de continguts
Programari maliciós personalitzat
L'amenaça està escrita en C i pot executar càrregues útils de codi shell a la memòria sense necessitat d'escriure-les al disc. Per comunicar-se amb el seu servidor d'ordres i control (C2, C&C), l'amenaça utilitza HTTP, mentre que el trànsit entrant està xifrat amb AES-256 en mode CBC. Ceeloader es desplega als sistemes compromesos mitjançant una balisa Cobalt Strike i no estableix cap mecanisme de persistència propi. La seva tasca principal és aconseguir i desplegar les càrregues útils de la següent etapa de l'atac.
Tècniques d'evasió
Per fer que la detecció sigui molt més difícil, Ceeloader ho és ofuscat molt. Les trucades que fa a l'API de Windows es barregen entre grans blocs de codi brossa. Nobelium també utilitza altres mètodes d'evasió, com ara adreces IP residencials com a servidors intermediaris, VPS i VPN abans d'accedir a l'entorn compromès i molt més. En alguns casos, els investigadors van poder identificar les càrregues útils de la segona etapa injectades als servidors de WordPress incompliments. A les campanyes, els pirates informàtics van utilitzar sistemes legítims allotjats a Microsoft Azure aparentment, a causa del fet que les seves adreces IP estaven molt a prop de la xarxa compromesa.
Grup Patrocinat per la Nació
Nobelium és el nom donat per Microsoft a l'actor d'amenaça responsable de l'atac massiu de la cadena de subministrament de SolarWinds. El mateix grup APT també es troba com APT29 , Cozy Bear and the Dukes. Les proves suggereixen que el grup té forts vincles amb Rússia o és una divisió de pirateria informàtica del Servei d'Intel·ligència Exterior del país.
Nobelium és un grup avançat de pirateria informàtica amb recursos importants que té accés a múltiples amenaces i eines de programari maliciós personalitzades. Les seves operacions estan dirigides a les agències dels EUA principalment, amb l'objectiu d'adquirir informació sensible. Les últimes activitats del grup segueixen aquest patró, i s'observa que els pirates informàtics exfiltraven múltiples documents de les seves víctimes que es creu que contenen informació d'interès particular per a Rússia.
