Ceeloader zlonamjerni softver
Grupa Nobelium APT (Advanced Persistent Threat) i dalje je aktivna na području kibernetičke špijunaže. Ovaj put aktivnosti hakera otkrili su istraživači infoseca. Prema nalazima, Nobelium još uvijek cilja na pružatelje usluga u oblaku i MSP (Managed Service Providers) kao sredstvo za dobivanje početnog pristupa internim mrežama njihovih pravih ciljeva. Istraživači također primjećuju da cybergang nastavlja otkrivati nove prijetnje zlonamjernog softvera napravljene po mjeri, ovaj put u obliku novog programa za preuzimanje pod nazivom Ceeloader.
Sadržaj
Prilagođeni zlonamjerni softver
Prijetnja je napisana u C-u i može izvršiti unose shellcodea u memoriji bez potrebe da ih se zapiše na disk. Za komunikaciju sa svojim Command-and-Control (C2, C&C) poslužiteljem, prijetnja koristi HTTP, dok je dolazni promet šifriran s AES-256 u CBC načinu. Ceeloader se postavlja na kompromitirane sustave preko Cobalt Strike beacona i ne uspostavlja nikakav vlastiti mehanizam postojanosti. Njegov glavni zadatak je dohvatiti i rasporediti sljedeću fazu napada.
Tehnike izbjegavanja
Da bi otkrivanje bilo mnogo teže, Ceeloader je zamućen jako. Pozivi koje upućuje Windows API-ju su razvrstani među velikim komadima neželjenog koda. Nobelium također koristi druge metode izbjegavanja, kao što su stambene IP adrese kao proxy, VPS i VPN prije pristupa ugroženom okruženju i još mnogo toga. U nekim slučajevima, istraživači su uspjeli identificirati terete druge faze ubrizgane u provaljene WordPress poslužitelje. U kampanjama su hakeri koristili legitimne sustave s Microsoft Azureom, očito, zbog činjenice da su njihove IP adrese bile u neposrednoj blizini ugrožene mreže.
Grupa pod pokroviteljstvom nacije
Nobelium je ime koje je Microsoft dao akteru prijetnje odgovornom za masivni napad na opskrbni lanac SolarWindsa. Ista APT grupa se također prati kao APT29 , Cozy Bear i Dukes. Dokazi upućuju na to da skupina ili ima jake veze s Rusijom ili je izravno hakerski odjel vanjske obavještajne službe zemlje.
Nobelium je napredna hakerska grupa sa značajnim resursima koja ima pristup višestrukim prijetnjama i alatima zlonamjernog softvera napravljenim po mjeri. Njegovo djelovanje usmjereno je na američke agencije pretežno s ciljem stjecanja osjetljivih informacija. Posljednje aktivnosti grupe slijede ovaj obrazac, a hakeri su promatrani kako eksfiltriraju više dokumenata od svojih žrtava za koje se vjeruje da sadrže informacije od posebnog interesa za Rusiju.
