Ceeloader Malware
नोबेलियम एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह साइबर-जासूसी परिदृश्य पर सक्रिय है। इस बार इन्फोसेक रिसर्चर्स ने हैकर्स की गतिविधियों का खुलासा किया। निष्कर्षों के अनुसार, Nobelium अभी भी क्लाउड प्रदाताओं और एमएसपी (प्रबंधित सेवा प्रदाताओं) को अपने वास्तविक लक्ष्यों के आंतरिक नेटवर्क तक प्रारंभिक पहुंच प्राप्त करने के साधन के रूप में लक्षित कर रहा है। शोधकर्ताओं ने यह भी ध्यान दिया कि साइबरगैंग नए कस्टम-निर्मित मैलवेयर खतरों को प्रकट करना जारी रखता है, इस बार सीलोडर नामक एक नए डाउनलोडर के रूप में।
विषयसूची
कस्टम मैलवेयर
खतरा सी में लिखा गया है और डिस्क पर लिखने की आवश्यकता के बिना स्मृति में शेलकोड पेलोड निष्पादित कर सकता है। अपने कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ संचार करने के लिए, खतरा HTTP का उपयोग करता है, जबकि आने वाले ट्रैफ़िक को CBC मोड में AES-256 के साथ एन्क्रिप्ट किया जाता है। सीलोडर को Cobalt Strike बीकन के माध्यम से समझौता किए गए सिस्टम में तैनात किया गया है और स्वयं का कोई दृढ़ता तंत्र स्थापित नहीं करता है। इसका मुख्य कार्य हमले के अगले चरण के पेलोड को लाना और तैनात करना है।
चोरी तकनीक
इतना कठिन पता लगाने के लिए, सीलोडर हैभारी भ्रमित। विंडोज एपीआई के लिए यह कॉल जंक कोड के बड़े हिस्से के बीच तले हुए हैं। नोबेलियम अन्य चोरी के तरीकों को भी नियोजित करता है, जैसे आवासीय आईपी पते जैसे प्रॉक्सी, वीपीएस और वीपीएन समझौता किए गए वातावरण तक पहुँचने से पहले और बहुत कुछ। कुछ उदाहरणों में, शोधकर्ता भंग किए गए वर्डप्रेस सर्वर में इंजेक्ट किए गए दूसरे चरण के पेलोड की पहचान करने में सक्षम थे। अभियानों में, हैकर्स ने स्पष्ट रूप से वैध Microsoft Azure- होस्टेड सिस्टम का उपयोग किया, इस तथ्य के कारण कि उनके आईपी पते समझौता किए गए नेटवर्क के करीब थे।
राष्ट्र प्रायोजित समूह
नोबलियम, माइक्रोसॉफ्ट द्वारा सोलरविंड्स आपूर्ति-श्रृंखला हमले के लिए जिम्मेदार खतरे वाले अभिनेता को दिया गया नाम है। उसी APT समूह को APT29, Cozy Bear और Dukes के रूप में भी ट्रैक किया जाता है। साक्ष्य बताते हैं कि समूह के रूस के साथ मजबूत संबंध हैं या यह देश की विदेशी खुफिया सेवा का एक हैकिंग डिवीजन है।
नोबेलियम एक उन्नत हैकिंग समूह है जिसके पास बड़े पैमाने पर संसाधन हैं जिनके पास कई कस्टम-निर्मित मैलवेयर खतरों और उपकरणों तक पहुंच है। इसके संचालन अमेरिकी एजेंसियों पर लक्षित हैंमुख्य रूप से संवेदनशील जानकारी हासिल करने के लक्ष्य के साथ। समूह की नवीनतम गतिविधियाँ इस पैटर्न का अनुसरण करती हैं, जिसमें हैकर्स को उनके पीड़ितों से कई दस्तावेज़ों को बाहर निकालने के लिए देखा जाता है, जिनके बारे में माना जाता है कि उनमें रूस के लिए विशेष रुचि की जानकारी है।
