씨로더 악성코드

노벨리움 APT(Advanced Persistent Threat) 그룹은 사이버 스파이 환경에서 계속 활동하고 있습니다. 이번에는 인포섹 연구원들이 해커들의 활동을 폭로했다. 연구 결과에 따르면, 노벨리움 은 여전히 진정한 목표의 내부 네트워크에 대한 초기 액세스를 얻기 위한 수단으로 클라우드 제공업체와 MSP(관리 서비스 제공업체)를 목표로 삼고 있습니다. 연구원들은 또한 사이버갱이 이번에는 Ceeloader라는 새로운 다운로더의 형태로 새로운 맞춤형 맬웨어 위협을 계속해서 공개하고 있다는 점에 주목했습니다.

맞춤형 악성코드

위협은 C로 작성되었으며 디스크에 기록할 필요 없이 메모리에서 쉘코드 페이로드를 실행할 수 있습니다. C2, C&C(명령 및 제어) 서버와 통신하기 위해 위협 요소는 HTTP를 사용하고 들어오는 트래픽은 CBC 모드에서 AES-256으로 암호화됩니다. Ceeloader는 Cobalt Strike 비콘을 통해 손상된 시스템에 배포되며 자체적으로 지속성 메커니즘을 설정하지 않습니다. 주요 임무는 공격의 다음 단계 페이로드를 가져와 배포하는 것입니다.

회피 기술

감지를 훨씬 더 어렵게 만들기 위해 Ceeloader는심하게 난독화. Windows API에 대한 호출은 많은 정크 코드 덩어리 사이에서 뒤섞입니다. Novelium은 또한 주거용 IP 주소를 프록시로 사용, VPS 및 VPN과 같은 다른 회피 방법을 사용하여 손상된 환경에 액세스하는 등의 작업을 수행합니다. 어떤 경우에는 연구원들이 침해된 WordPress 서버에 주입된 2단계 페이로드를 식별할 수 있었습니다. 캠페인에서 해커는 IP 주소가 손상된 네트워크에 매우 근접했기 때문에 합법적인 Microsoft Azure 호스팅 시스템을 분명히 사용했습니다.

국가후원단체

노벨륨은 대규모 SolarWinds 공급망 공격에 책임이 있는 위협 행위자에게 Microsoft가 부여한 이름입니다. 동일한 APT 그룹은 APT29 , Cozy Bear and Dukes로도 추적됩니다. 증거에 따르면 이 그룹은 러시아와 강한 유대 관계를 가지고 있거나 러시아 해외 정보국의 해킹 부서입니다.

노벨리움은 다양한 맞춤형 맬웨어 위협 및 도구에 액세스할 수 있는 상당한 리소스를 보유한 고급 해킹 그룹입니다. 그 작업은 미국 기관을 대상으로합니다.주로 민감한 정보를 획득하는 것을 목표로 합니다. 이 그룹의 최근 활동은 이러한 패턴을 따르며, 해커들은 러시아가 특히 관심을 가질 만한 정보가 포함된 것으로 여겨지는 여러 문서를 피해자로부터 빼내는 것을 관찰하고 있습니다.