„Ceeloader“ kenkėjiška programa
Nobelium APT (Advanced Persistent Threat) grupė ir toliau aktyviai veikia kibernetinio šnipinėjimo srityje. Šį kartą programišių veiklą atskleidė infosec tyrėjai. Remiantis išvadomis, „ Nobelium “ vis dar taikosi į debesų tiekėjus ir MSP (valdomus paslaugų teikėjus), kad gautų pradinę prieigą prie savo tikrųjų tikslų vidinių tinklų. Tyrėjai taip pat pažymi, kad „cybergang“ ir toliau atskleidžia naujas pagal užsakymą sukurtas kenkėjiškų programų grėsmes, šį kartą kaip naujas atsisiuntimo programa, pavadinta „Ceeloader“.
Turinys
Tinkinta kenkėjiška programa
Grėsmė parašyta C kalba ir gali vykdyti apvalkalo kodo naudingąsias apkrovas atmintyje, nereikia jų įrašyti į diską. Norėdami susisiekti su savo komandų ir valdymo (C2, C&C) serveriu, grėsmė naudoja HTTP, o gaunamas srautas šifruojamas naudojant AES-256 CBC režimu. „Ceeloader“ yra įdiegta pažeistose sistemose per „ Cobalt Strike“ švyturį ir nesukuria jokio savo patvarumo mechanizmo. Pagrindinė jo užduotis yra paimti ir dislokuoti kito etapo atakos krovinius.
Vengimo būdai
Kad aptikimas būtų daug sunkesnis, „Ceeloader“ yra smarkiai aptemdytas. Skambučiai, kuriuos jis atlieka į „Windows API“, yra sumaišomi tarp didelių nepageidaujamo kodo gabalų. „Nobelium“ taip pat naudoja kitus vengimo būdus, pvz., gyvenamųjų IP adresus kaip tarpinius serverius, VPS ir VPN prieš pasiekiant pažeistą aplinką ir dar daugiau. Kai kuriais atvejais tyrėjams pavyko nustatyti antrosios pakopos naudingąsias apkrovas, įvestas į pažeistus „WordPress“ serverius. Kampanijose įsilaužėliai naudojo teisėtas „Microsoft Azure“ priglobtas sistemas, matyt, dėl to, kad jų IP adresai buvo arti pažeisto tinklo.
Tautos remiama grupė
„Nobelium“ yra pavadinimas, kurį „Microsoft“ suteikė grėsmės veikėjui, atsakingam už didžiulę „SolarWinds“ tiekimo grandinės ataką. Ta pati APT grupė taip pat stebima kaip APT29 , Cozy Bear ir Dukes. Įrodymai rodo, kad grupuotė arba palaiko tvirtus ryšius su Rusija, arba yra tiesioginis šalies Užsienio žvalgybos tarnybos įsilaužimo padalinys.
„Nobelium“ yra pažangi įsilaužimo grupė, turinti didelius išteklius, turinti prieigą prie kelių pagal užsakymą sukurtų kenkėjiškų programų grėsmių ir įrankių. Jos veikla nukreipta į JAV agentūras daugiausia siekiant gauti neskelbtinos informacijos. Naujausia grupės veikla vadovaujasi šiuo modeliu, kai buvo pastebėta, kad įsilaužėliai iš savo aukų išfiltruoja daugybę dokumentų, kuriuose, kaip manoma, yra ypač Rusijai svarbios informacijos.
