بدافزار Ceeloader
گروه نوبلیوم APT (تهدید پایدار پیشرفته) همچنان به فعالیت خود در زمینه جاسوسی سایبری ادامه می دهد. این بار فعالیت هکرها توسط محققان infosec فاش شد. بر اساس یافتهها، نوبلیوم همچنان ارائهدهندگان ابر و MSP (ارائهدهندگان خدمات مدیریت شده) را به عنوان ابزاری برای دسترسی اولیه به شبکههای داخلی اهداف واقعی خود هدف قرار میدهد. محققان همچنین خاطرنشان کردند که cybergang همچنان به افشای تهدیدات بدافزار سفارشی جدید، این بار در قالب یک دانلودر جدید به نام Ceeloader ادامه می دهد.
فهرست مطالب
بدافزار سفارشی
تهدید به زبان C نوشته شده است و میتواند بارهای کد پوسته را بدون نیاز به نوشتن روی دیسک در حافظه اجرا کند. برای برقراری ارتباط با سرور Command-and-Control (C2, C&C)، تهدید از HTTP استفاده می کند، در حالی که ترافیک ورودی با AES-256 در حالت CBC رمزگذاری می شود. Ceeloader از طریق یک چراغ Cobalt Strike به سیستم های در معرض خطر مستقر می شود و هیچ مکانیزم پایداری خود را ایجاد نمی کند. وظیفه اصلی آن واکشی و استقرار محموله های مرحله بعدی حمله است.
تکنیک های فرار
برای اینکه تشخیص خیلی سخت تر شود، Ceeloader است به شدت مبهم شده است تماسهایی که با API ویندوز برقرار میکند در میان تکههای بزرگ کدهای ناخواسته درهم میشوند. Nobelium همچنین از روشهای فرار دیگری مانند آدرسهای IP مسکونی به عنوان پراکسی، VPS و VPN قبل از دسترسی به محیط در معرض خطر و غیره استفاده میکند. در برخی موارد، محققان توانستند بارهای مرحله دوم تزریق شده به سرورهای وردپرس را شناسایی کنند. در کمپینها، هکرها ظاهراً از سیستمهای مشروع میزبانی Microsoft Azure استفاده کردند، زیرا آدرسهای IP آنها نزدیک به شبکه در معرض خطر بود.
گروه حمایت از ملت
نوبلیوم نامی است که مایکروسافت به عامل تهدیدی که مسئول حمله عظیم زنجیره تامین SolarWinds است داده است. همان گروه APT نیز با نامهای APT29 ، Cozy Bear و Dukes دنبال میشود. شواهد حاکی از آن است که این گروه یا روابط قوی با روسیه دارد یا یک بخش هکری در سرویس اطلاعات خارجی این کشور است.
Nobelium یک گروه هک پیشرفته با منابع قابل توجهی است که به چندین تهدید و ابزار بدافزار سفارشی دسترسی دارد. عملیات آن سازمان های ایالات متحده را هدف قرار داده است عمدتاً با هدف به دست آوردن اطلاعات حساس. آخرین فعالیتهای این گروه از این الگو پیروی میکند، با مشاهده هکرها برای کشف اسناد متعدد از قربانیان خود که گمان میرود حاوی اطلاعات مورد علاقه روسیه است.