មេរោគ Ceeloader

ក្រុម Nobelium APT (Advanced Persistent Threat) បន្តធ្វើសកម្មភាពលើទិដ្ឋភាពចារកម្មតាមអ៊ីនធឺណិត។ លើកនេះសកម្មភាពរបស់ពួក Hacker ត្រូវបានបង្ហាញដោយអ្នកស្រាវជ្រាវ infosec ។ យោងតាមការរកឃើញ Nobelium នៅតែកំណត់គោលដៅលើអ្នកផ្តល់សេវាពពក និង MSP (អ្នកផ្តល់សេវាគ្រប់គ្រង) ជាមធ្យោបាយដើម្បីទទួលបានការចូលដំណើរការដំបូងទៅកាន់បណ្តាញខាងក្នុងនៃគោលដៅពិតរបស់ពួកគេ។ អ្នកស្រាវជ្រាវក៏បានកត់សម្គាល់ផងដែរថា cybergang កំពុងបន្តបង្ហាញពីការគំរាមកំហែងមេរោគដែលបង្កើតដោយខ្លួនឯង ដែលលើកនេះក្នុងទម្រង់ជាអ្នកទាញយកថ្មីដែលមានឈ្មោះថា Ceeloader ។

មេរោគផ្ទាល់ខ្លួន

ការគម្រាមកំហែងត្រូវបានសរសេរជា C ហើយអាចប្រតិបត្តិ shellcode payloads នៅក្នុង memory ដោយមិនចាំបាច់សរសេរវានៅលើឌីស។ ដើម្បីទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) របស់វា ការគំរាមកំហែងប្រើ HTTP ខណៈពេលដែលចរាចរចូលត្រូវបានអ៊ិនគ្រីបជាមួយ AES-256 នៅក្នុងរបៀប CBC ។ Ceeloader ត្រូវបានដាក់ពង្រាយទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលតាមរយៈសញ្ញា Cobalt Strike ហើយមិនបង្កើតយន្តការតស៊ូណាមួយរបស់វាឡើយ។ ភារកិច្ចចម្បងរបស់វាគឺដើម្បីទៅយក និងដាក់ពង្រាយដំណាក់កាលបន្ទាប់នៃការវាយប្រហារ។

បច្ចេកទេសគេចវេះ

ដើម្បីធ្វើឱ្យការរកឃើញកាន់តែពិបាកនោះ Ceeloader គឺ ច្របូកច្របល់យ៉ាងខ្លាំង។ ការហៅទូរស័ព្ទដែលវាធ្វើទៅ Windows API ត្រូវបានច្របូកច្របល់ក្នុងចំណោមកំណាត់ដ៏ធំនៃកូដឥតបានការ។ Nobelium ក៏ប្រើវិធីគេចវេសផ្សេងទៀតផងដែរ ដូចជាអាសយដ្ឋាន IP លំនៅដ្ឋានជាប្រូកស៊ី VPS និង VPN មុនពេលចូលប្រើបរិយាកាសសម្របសម្រួល និងច្រើនទៀត។ ក្នុងករណីខ្លះ អ្នកស្រាវជ្រាវអាចកំណត់អត្តសញ្ញាណបន្ទុកដំណាក់កាលទីពីរដែលបញ្ចូលទៅក្នុងម៉ាស៊ីនមេ WordPress ដែលបំពាន។ នៅក្នុងយុទ្ធនាការនេះ ពួក Hacker បានប្រើប្រាស់ប្រព័ន្ធ Microsoft Azure-hosted ស្របច្បាប់ ដោយសារតែអាសយដ្ឋាន IP របស់ពួកគេមាននៅជិតបណ្តាញដែលត្រូវបានសម្របសម្រួល។

ក្រុមឧបត្ថម្ភជាតិ

Nobelium គឺជាឈ្មោះដែលផ្តល់ដោយ Microsoft ដល់តួអង្គគំរាមកំហែងដែលទទួលខុសត្រូវចំពោះការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ SolarWinds ដ៏ធំ។ ក្រុម APT ដូចគ្នាក៏ត្រូវបានតាមដានផងដែរដូចជា APT29 , Cozy Bear និង Dukes ។ ភ័ស្តុតាងបង្ហាញថា ក្រុមនេះមានទំនាក់ទំនងខ្លាំងជាមួយរុស្ស៊ី ឬជាផ្នែកមួយនៃការលួចចូលនៃសេវាស៊ើបការណ៍បរទេសរបស់ប្រទេស។

Nobelium គឺជាក្រុម hacking កម្រិតខ្ពស់ដែលមានធនធានដែលមានទំហំដែលអាចចូលប្រើការគំរាមកំហែង និងឧបករណ៍ malware ដែលផលិតតាមបំណងជាច្រើន។ ប្រតិបត្តិការ​របស់​វា​ត្រូវ​បាន​កំណត់​គោលដៅ​នៅ​ទីភ្នាក់ងារ​អាមេរិក លើសលុប ដោយមានគោលដៅដើម្បីទទួលបានព័ត៌មានរសើប។ សកម្មភាពចុងក្រោយបំផុតរបស់ក្រុមធ្វើតាមគំរូនេះ ដោយពួក Hacker ត្រូវបានគេសង្កេតឃើញដើម្បីទាញយកឯកសារជាច្រើនពីជនរងគ្រោះរបស់ពួកគេ ដែលត្រូវបានគេជឿថាមានព័ត៌មានដែលចាប់អារម្មណ៍ជាពិសេសចំពោះប្រទេសរុស្ស៊ី។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...