Malware Ceeloader

Skupina Nobelium APT (Advanced Persistent Threat) je i nadále aktivní na poli kybernetické špionáže. Aktivity hackerů tentokrát odhalili výzkumníci z infosecu. Podle zjištění se Nobelium stále zaměřuje na poskytovatele cloudu a MSP (Managed Service Providers) jako prostředek k získání počátečního přístupu k interním sítím jejich skutečných cílů. Výzkumníci také poznamenávají, že kybergang pokračuje v odhalování nových malwarových hrozeb vytvořených na míru, tentokrát ve formě nového downloaderu s názvem Ceeloader.

Vlastní malware

Hrozba je napsána v C a může spouštět užitečné zatížení shell kódu v paměti, aniž by bylo nutné je zapisovat na disk. Ke komunikaci se svým serverem Command-and-Control (C2, C&C) používá hrozba HTTP, zatímco příchozí provoz je šifrován pomocí AES-256 v režimu CBC. Ceeloader je nasazen do kompromitovaných systémů prostřednictvím majáku Cobalt Strike a nevytváří žádný vlastní mechanismus persistence. Jeho hlavním úkolem je získat a rozmístit užitečné zatížení v další fázi útoku.

Únikové techniky

Aby byla detekce mnohem obtížnější, je to Ceeloadersilně zatemněn. Volání, která provádí do Windows API, jsou zakódována mezi velké kusy nevyžádaného kódu. Nobelium také využívá další způsoby úniku, jako jsou rezidenční IP adresy jako proxy, VPS a VPN před přístupem do ohroženého prostředí a další. V některých případech byli výzkumníci schopni identifikovat zátěže druhé fáze vložené do narušených serverů WordPress. V kampaních hackeři zřejmě používali legitimní systémy hostované v Microsoft Azure, protože jejich IP adresy byly v těsné blízkosti kompromitované sítě.

Národem sponzorovaná skupina

Nobelium je jméno, které společnost Microsoft pojmenovala aktérovi hrozby odpovědnému za masivní útok na dodavatelský řetězec SolarWinds. Stejná skupina APT je také sledována jako APT29 , Cozy Bear a Dukes. Důkazy naznačují, že skupina má buď silné vazby na Rusko, nebo je přímo hackerskou divizí tamní zahraniční zpravodajské služby.

Nobelium je pokročilá hackerská skupina se značnými zdroji, která má přístup k mnoha zakázkovým malwarovým hrozbám a nástrojům. Její operace jsou zaměřeny na americké agenturypřevážně s cílem získat citlivé informace. Nejnovější aktivity skupiny se řídí tímto vzorem, přičemž bylo pozorováno, jak hackeři exfiltrovali od svých obětí mnoho dokumentů, o nichž se předpokládá, že obsahují informace, které jsou pro Rusko obzvláště zajímavé.

Trendy

Nejvíce shlédnuto

Načítání...