Threat Database Advanced Persistent Threat (APT) Κακόβουλο λογισμικό Ceeloader

Κακόβουλο λογισμικό Ceeloader

Η ομάδα Nobelium APT (Advanced Persistent Threat) συνεχίζει να δραστηριοποιείται στο τοπίο της κυβερνοκατασκοπείας. Αυτή τη φορά οι δραστηριότητες των χάκερ αποκαλύφθηκαν από ερευνητές της infosec. Σύμφωνα με τα ευρήματα, το Nobelium εξακολουθεί να στοχεύει παρόχους cloud και MSP (Managed Service Providers) ως μέσο για να αποκτήσουν αρχική πρόσβαση στα εσωτερικά δίκτυα των πραγματικών τους στόχων. Οι ερευνητές σημειώνουν επίσης ότι το cybergang συνεχίζει να αποκαλύπτει νέες εξατομικευμένες απειλές κακόβουλου λογισμικού, αυτή τη φορά με τη μορφή ενός νέου προγράμματος λήψης που ονομάζεται Ceeloader.

Προσαρμοσμένο κακόβουλο λογισμικό

Η απειλή είναι γραμμένη σε C και μπορεί να εκτελέσει ωφέλιμα φορτία κώδικα κελύφους στη μνήμη χωρίς να χρειάζεται να τα εγγράψει σε δίσκο. Για να επικοινωνήσει με τον διακομιστή Command-and-Control (C2, C&C), η απειλή χρησιμοποιεί HTTP, ενώ η εισερχόμενη κίνηση κρυπτογραφείται με AES-256 σε λειτουργία CBC. Το Ceeloader αναπτύσσεται στα παραβιασμένα συστήματα μέσω ενός φάρου Cobalt Strike και δεν δημιουργεί κανέναν δικό του μηχανισμό επιμονής. Το κύριο καθήκον του είναι να φέρει και να αναπτύξει τα ωφέλιμα φορτία του επόμενου σταδίου της επίθεσης.

Τεχνικές Αποφυγής

Για να γίνει η ανίχνευση πολύ πιο δύσκολη, το Ceeloader είναι θολώθηκε βαριά. Οι κλήσεις που πραγματοποιεί στο API των Windows συγκαταλέγονται ανάμεσα σε μεγάλα κομμάτια ανεπιθύμητου κώδικα. Το Nobelium χρησιμοποιεί επίσης άλλες μεθόδους αποφυγής, όπως διευθύνσεις IP κατοικίας ως διακομιστή μεσολάβησης, VPS και VPN πριν αποκτήσει πρόσβαση στο παραβιασμένο περιβάλλον και πολλά άλλα. Σε ορισμένες περιπτώσεις, οι ερευνητές μπόρεσαν να αναγνωρίσουν ωφέλιμα φορτία δεύτερου σταδίου που εισήχθησαν σε διακομιστές WordPress που είχαν παραβιαστεί. Στις εκστρατείες, οι χάκερ χρησιμοποίησαν νόμιμα συστήματα που φιλοξενούνταν από το Microsoft Azure προφανώς, λόγω του γεγονότος ότι οι διευθύνσεις IP τους ήταν πολύ κοντά στο παραβιασμένο δίκτυο.

Ομάδα Χορηγός του Έθνους

Nobelium είναι το όνομα που δόθηκε από τη Microsoft στον παράγοντα απειλών που ευθύνεται για τη μαζική επίθεση στην αλυσίδα εφοδιασμού της SolarWinds. Η ίδια ομάδα APT παρακολουθείται επίσης ως APT29 , Cozy Bear and the Dukes. Τα στοιχεία δείχνουν ότι η ομάδα είτε έχει ισχυρούς δεσμούς με τη Ρωσία είτε είναι καθαρά τμήμα πειρατείας της Υπηρεσίας Εξωτερικών Πληροφοριών της χώρας.

Το Nobelium είναι μια προηγμένη ομάδα hacking με σημαντικούς πόρους που έχει πρόσβαση σε πολλαπλές εξατομικευμένες απειλές και εργαλεία κακόβουλου λογισμικού. Οι δραστηριότητές της απευθύνονται σε αμερικανικές υπηρεσίες κυρίως, με στόχο την απόκτηση ευαίσθητων πληροφοριών. Οι τελευταίες δραστηριότητες της ομάδας ακολουθούν αυτό το μοτίβο, με τους χάκερ να παρατηρούνται να διεισδύουν πολλαπλά έγγραφα από τα θύματά τους που πιστεύεται ότι περιέχουν πληροφορίες που παρουσιάζουν ιδιαίτερο ενδιαφέρον για τη Ρωσία.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...