תוכנות זדוניות של Ceeloader
קבוצת Nobelium APT (Advanced Persistent Threat) ממשיכה להיות פעילה בנוף ריגול הסייבר. הפעם הפעילות של ההאקרים נחשפה על ידי חוקרי infosec. על פי הממצאים, Nobelium עדיין מכוונת לספקי ענן ול-MSP (Managed Service Providers) כאמצעי להשיג גישה ראשונית לרשתות הפנימיות של היעדים האמיתיים שלהם. החוקרים מציינים גם שהסייברגאנג ממשיך לחשוף איומים חדשים של תוכנות זדוניות מותאמות אישית, הפעם בדמות הורדה חדשה בשם Ceeloader.
תוכן העניינים
תוכנה זדונית מותאמת אישית
האיום כתוב ב-C ויכול לבצע עומסי shellcode בזיכרון ללא צורך לכתוב אותם על דיסק. כדי לתקשר עם שרת ה-Command-and-Control (C2, C&C) שלו, האיום משתמש ב-HTTP, בעוד התעבורה הנכנסת מוצפנת עם AES-256 במצב CBC. Ceeloader נפרס למערכות שנפגעו באמצעות משואת Cobalt Strike ואינו מקים מנגנון התמדה משלו. המשימה העיקרית שלו היא להביא ולפרוס את המטענים הבאים של המתקפה.
טכניקות התחמקות
כדי להפוך את הגילוי להרבה יותר קשה, Ceeloader היא מעורפל בכבדות. הקריאות שהוא מבצע לממשק ה-API של Windows מקושקשות בין נתחים גדולים של קוד זבל. Nobelium משתמשת גם בשיטות התחמקות אחרות, כמו כתובות IP למגורים כמו פרוקסי, VPS ו-VPN לפני גישה לסביבה שנפגעת ועוד. במקרים מסוימים, חוקרים הצליחו לזהות מטענים בשלב שני שהוזרקו לשרתי וורדפרס שנפרצו. בקמפיינים, ההאקרים השתמשו במערכות לגיטימיות המתארחות ב-Microsoft Azure, ככל הנראה, בשל העובדה שכתובות ה-IP שלהם היו קרובות לרשת שנפגעה.
קבוצה בחסות המדינה
Nobelium הוא השם שנתנה מיקרוסופט לשחקן האיום האחראי למתקפת שרשרת האספקה האדירה של SolarWinds. אותה קבוצת APT נמצאת גם במעקב בתור APT29 , Cozy Bear וה-Dukes. עדויות מצביעות על כך שלקבוצה יש קשרים חזקים עם רוסיה או שהיא ממש חטיבת פריצה של שירות הביון החוץ של המדינה.
Nobelium היא קבוצת פריצה מתקדמת עם משאבים גדולים שיש לה גישה למספר איומים וכלים של תוכנות זדוניות מותאמות אישית. פעילותה ממוקדת לסוכנויות אמריקאיות בעיקר, במטרה לרכוש מידע רגיש. הפעילויות האחרונות של הקבוצה עוקבות אחר דפוס זה, כאשר ההאקרים נצפו כשהם מוציאים מספר מסמכים מהקורבנות שלהם, שלדעתם מכילים מידע שמעניין במיוחד את רוסיה.
