Ceeloader pahavara
Nobelium APT (Advanced Persistent Threat) rühm on jätkuvalt küberspionaaži maastikul aktiivne. Seekord paljastasid häkkerite tegevuse infoseci uurijad. Tulemuste kohaselt sihib Nobelium endiselt pilveteenuse pakkujaid ja hallatud teenusepakkujaid (MSP, Managed Service Providers), et saada esmane juurdepääs nende tegelike sihtmärkide sisevõrkudele. Teadlased märgivad ka, et kübergang jätkab uute kohandatud pahavara ohtude paljastamist, seekord uue allalaadija nimega Ceeloader näol.
Sisukord
Kohandatud pahavara
Oht on kirjutatud C-keeles ja võib käivitada mällu shellkoodi kasulikke koormusi, ilma et oleks vaja neid kettale kirjutada. Oma Command-and-Control (C2, C&C) serveriga suhtlemiseks kasutab oht HTTP-d, samas kui sissetulev liiklus krüpteeritakse CBC-režiimis AES-256-ga. Ceeloader juurutatakse ohustatud süsteemidesse Cobalt Strike'i majaka kaudu ja see ei loo oma püsivusmehhanismi. Selle põhiülesanne on tuua ja paigutada rünnaku järgmise etapi kasulikud koormused.
Kõrvalehoidmise tehnikad
Ceeloader teeb tuvastamise palju raskemaks tugevasti hämatud. Kõned, mida see Windows API-le teeb, on segatud suurte rämpskoodi tükkide hulka. Nobelium kasutab ka muid kõrvalehoidmise meetodeid, nagu puhverserveritena kodu IP-aadressid, VPS ja VPN enne ohustatud keskkonnale juurdepääsu ja palju muud. Mõnel juhul suutsid teadlased tuvastada rikutud WordPressi serveritesse sisestatud teise etapi kasulikud koormused. Häkkerid kasutasid kampaaniates legitiimseid Microsoft Azure'i hostitud süsteeme ilmselt seetõttu, et nende IP-aadressid asusid ohustatud võrgu vahetus läheduses.
Riigi toetatud rühm
Nobelium on nimi, mille Microsoft andis SolarWindsi massilise tarneahela rünnaku eest vastutavale ohutegijale. Sama APT gruppi jälgitakse ka kui APT29 , Cozy Bear ja Dukes. Tõendid viitavad sellele, et rühmitusel on tugevad sidemed Venemaaga või see on otsene riigi välisluureteenistuse häkkimisosakond.
Nobelium on suurte ressurssidega täiustatud häkkimisrühm, millel on juurdepääs mitmele kohandatud pahavara ohule ja tööriistale. Selle tegevus on suunatud USA agentuuridele valdavalt eesmärgiga hankida tundlikku teavet. Rühma viimased tegevused järgivad seda mustrit, kusjuures on täheldatud, et häkkerid eksfiltreerisid oma ohvritelt mitmeid dokumente, mis arvatavasti sisaldavad Venemaale erilist huvi pakkuvat teavet.
