Ceeloader Malware
Nobelium APT (Advanced Persistent Threat)-gruppen fortsætter med at være aktiv i cyberspionagelandskabet. Denne gang blev hackernes aktiviteter afsløret af infosec-forskere. Ifølge resultaterne retter Nobelium sig stadig efter cloud-udbydere og MSP (Managed Service Providers) som et middel til at få indledende adgang til de interne netværk af deres sande mål. Forskerne bemærker også, at cybergangen fortsætter med at afsløre nye specialfremstillede malware-trusler, denne gang i form af en ny downloader ved navn Ceeloader.
Indholdsfortegnelse
Brugerdefineret malware
Truslen er skrevet i C og kan udføre shellcode-nyttelast i hukommelsen uden at skulle skrive dem på disk. For at kommunikere med dens Command-and-Control-server (C2, C&C) bruger truslen HTTP, mens den indgående trafik er krypteret med AES-256 i CBC-tilstand. Ceeloader implementeres til de kompromitterede systemer via et Cobalt Strike- beacon og etablerer ikke nogen egen persistensmekanisme. Dens hovedopgave er at hente og implementere de næste trins nyttelast af angrebet.
Undvigelsesteknikker
For at gøre detektion så meget sværere, er Ceeloadertilsløret kraftigt. De kald, den foretager til Windows API, er forvrænget blandt store bidder af uønsket kode. Nobelium anvender også andre unddragelsesmetoder, såsom IP-adresser til boliger som proxyer, VPS og VPN før adgang til det kompromitterede miljø og mere. I nogle tilfælde var forskere i stand til at identificere andet trins nyttelast indsprøjtet i brudte WordPress-servere. I kampagnerne brugte hackerne legitime Microsoft Azure-hostede systemer tilsyneladende på grund af det faktum, at deres IP-adresser var tæt på det kompromitterede netværk.
Nation-sponsoreret gruppe
Nobelium er navnet givet af Microsoft til trusselsaktøren, der er ansvarlig for det massive SolarWinds forsyningskædeangreb. Den samme APT-gruppe spores også som APT29, Cozy Bear and the Dukes. Beviser tyder på, at gruppen enten har stærke bånd til Rusland eller direkte er en hackerafdeling af landets udenrigsefterretningstjeneste.
Nobelium er en avanceret hackergruppe med betydelige ressourcer, der har adgang til flere specialfremstillede malwaretrusler og værktøjer. Dets aktiviteter er rettet mod amerikanske agenturerovervejende med det formål at erhverve følsomme oplysninger. De seneste aktiviteter i gruppen følger dette mønster, hvor hackerne bliver observeret i at udskille flere dokumenter fra deres ofre, som menes at indeholde oplysninger af særlig interesse for Rusland.
