Ceeloader haittaohjelma
Nobelium APT (Advanced Persistent Threat) -ryhmä jatkaa aktiivisesti kybervakoilumaisemaa. Tällä kertaa tietoturvatutkijat paljastivat hakkereiden toiminnan. Tulosten mukaan Nobelium tavoittelee edelleen pilvipalveluntarjoajia ja MSP:tä (Managed Service Providers) keinona saada alkupääsy todellisten kohteidensa sisäisiin verkkoihin. Tutkijat huomauttavat myös, että cybergang jatkaa uusien räätälöityjen haittaohjelmauhkien paljastamista, tällä kertaa uuden latausohjelman, nimeltä Ceeloader, muodossa.
Sisällysluettelo
Mukautettu haittaohjelma
Uhka on kirjoitettu C-kielellä ja se voi suorittaa shell-koodin hyötykuormia muistissa ilman, että niitä tarvitsee kirjoittaa levylle. Uhka käyttää HTTP:tä viestiäkseen Command-and-Control (C2, C&C) -palvelimensa kanssa, kun taas saapuva liikenne salataan AES-256:lla CBC-tilassa. Ceeloader otetaan käyttöön vaarantuneissa järjestelmissä Cobalt Strike -majakan kautta, eikä se luo omaa pysyvyysmekanismia. Sen päätehtävänä on noutaa ja ottaa käyttöön hyökkäyksen seuraavan vaiheen hyötykuormat.
Vyötämistekniikat
Jotta havaitseminen olisi paljon vaikeampaa, Ceeloader onhämmentynyt voimakkaasti. Sen kutsut Windows API:lle sekoitetaan suurien roskakoodipalojen joukkoon. Nobelium käyttää myös muita evaasiomenetelmiä, kuten asuinalueiden IP-osoitteita välityspalvelimena, VPS:ää ja VPN:ää ennen pääsyä vaarantuneeseen ympäristöön ja paljon muuta. Joissakin tapauksissa tutkijat pystyivät tunnistamaan toisen vaiheen hyötykuormat, jotka on ruiskutettu rikottuihin WordPress-palvelimiin. Hakkerit käyttivät kampanjoissa laillisia Microsoft Azure -isännöimiä järjestelmiä ilmeisesti johtuen siitä, että heidän IP-osoitteensa olivat lähellä vaarantunutta verkkoa.
Kansakunnan tukema ryhmä
Nobelium on Microsoftin antama nimi SolarWindsin massiivisesta toimitusketjuhyökkäyksestä vastuussa olevalle uhkatoimijalle. Samaa APT-ryhmää seurataan myös nimellä APT29 , Cozy Bear and the Dukes. Todisteet viittaavat siihen, että ryhmällä on joko vahvat siteet Venäjään tai se on suoranaisesti maan ulkomaantiedustelupalvelun hakkerointiosasto.
Nobelium on edistynyt hakkerointiryhmä, jolla on suuria resursseja ja jolla on pääsy useisiin räätälöityihin haittaohjelmauhkiin ja työkaluihin. Sen toiminta on suunnattu Yhdysvaltain virastoillepääasiallisesti arkaluonteisten tietojen hankkimiseksi. Ryhmän viimeisimmät toimet noudattavat tätä kaavaa, ja hakkereiden on havaittu suodattavan uhriltaan useita asiakirjoja, joiden uskotaan sisältävän Venäjää erityisen kiinnostavaa tietoa.
