Ceeloader Malware
A Nobelium APT (Advanced Persistent Threat) csoport továbbra is aktív a kiberkémkedés területén. A hackerek tevékenységét ezúttal az infosec kutatói tárták fel. Az eredmények szerint a Nobelium továbbra is a felhőszolgáltatókat és az MSP-t (Managed Service Providers) célozza meg, hogy kezdeti hozzáférést szerezzen valódi célpontjaik belső hálózataihoz. A kutatók azt is megjegyzik, hogy a cybergang továbbra is új, egyedileg készített rosszindulatú programokat fenyeget, ezúttal egy Ceeloader nevű új letöltő formájában.
Tartalomjegyzék
Egyéni rosszindulatú program
A fenyegetés C nyelven van írva, és shellkód-alapú rakományokat hajthat végre a memóriában anélkül, hogy lemezre kellene írnia azokat. A Command-and-Control (C2, C&C) szerverével való kommunikációhoz a fenyegetés HTTP-t használ, míg a bejövő forgalmat AES-256 titkosítja CBC módban. A Ceeloader a Cobalt Strike jeladón keresztül kerül a kompromittált rendszerekbe, és nem hoz létre saját perzisztencia mechanizmust. Fő feladata a támadás következő szakaszában a rakományok lekérése és telepítése.
Kijátszási technikák
A Ceeloader sokkal nehezebbé teszi az észlelést erősen elhomályosítva. A Windows API-hoz intézett hívások nagy mennyiségű kéretlen kód között vannak összekeverve. A Nobelium más kijátszási módszereket is alkalmaz, például a lakossági IP-címeket proxyként, VPS-t és VPN-t, mielőtt hozzáférne a veszélyeztetett környezethez, és így tovább. Egyes esetekben a kutatók azonosítani tudták a feltört WordPress-szerverekbe fecskendezett másodlagos hasznos terheket. A kampányokban a hackerek nyilvánvalóan legitim Microsoft Azure által hosztolt rendszereket használtak, aminek oka az volt, hogy IP-címeik közel voltak a feltört hálózathoz.
Országos Szponzorált Csoport
Nobelium a Microsoft elnevezése a SolarWinds masszív ellátási lánc támadásáért felelős fenyegetés szereplőjének. Ugyanez az APT csoport APT29 , Cozy Bear és a Dukes néven is nyomon követhető. A bizonyítékok arra utalnak, hogy a csoport vagy erős kapcsolatokat ápol Oroszországgal, vagy egyenesen az ország Külföldi Hírszerző Szolgálatának feltörő részlege.
A Nobelium egy fejlett hackercsoport, amely jelentős erőforrásokkal rendelkezik, és számos egyedi kártevő-fenyegetéshez és eszközhöz fér hozzá. Műveletei az amerikai ügynökségekre irányulnak túlnyomórészt érzékeny információk megszerzése céljából. A csoport legújabb tevékenységei ezt a mintát követik, a megfigyelések szerint a hackerek több olyan dokumentumot is kiszivárogtak áldozataik közül, amelyekről úgy tartják, hogy Oroszország számára különösen érdekes információkat tartalmaznak.
