Ceeloader ļaunprātīga programmatūra
Nobelium APT (Advanced Persistent Threat) grupa turpina aktīvi darboties kiberspiegošanas jomā. Šoreiz hakeru aktivitātes atklāja infosec pētnieki. Saskaņā ar atklājumiem Nobelium joprojām ir vērsta uz mākoņa pakalpojumu sniedzējiem un MSP (pārvaldītajiem pakalpojumu sniedzējiem), lai iegūtu sākotnējo piekļuvi to patieso mērķu iekšējiem tīkliem. Pētnieki arī atzīmē, ka kibergangs turpina atklāt jaunus pielāgotus ļaunprātīgas programmatūras draudus, šoreiz jauna lejupielādētāja veidā ar nosaukumu Ceeloader.
Satura rādītājs
Pielāgota ļaunprātīga programmatūra
Draudi ir rakstīti C valodā un var izpildīt čaulas koda lietderīgās slodzes atmiņā bez nepieciešamības ierakstīt tos diskā. Lai sazinātos ar savu Command-and-Control (C2, C&C) serveri, draudi izmanto HTTP, savukārt ienākošā trafika tiek šifrēta ar AES-256 CBC režīmā. Ceeloader tiek izvietots apdraudētajās sistēmās, izmantojot Cobalt Strike bāku, un tas neizveido nekādu savu noturības mehānismu. Tās galvenais uzdevums ir iegūt un izvietot uzbrukuma nākamā posma kravas.
Izvairīšanās paņēmieni
Lai atklāšanu padarītu daudz grūtāku, Ceeloader ir stipri apmulsināts. Zvani, ko tas veic uz Windows API, tiek sajaukti starp lieliem nevēlamā koda gabaliem. Nobelium izmanto arī citas izvairīšanās metodes, piemēram, dzīvojamo IP adreses kā starpniekserveri, VPS un VPN pirms piekļuves apdraudētajai videi un daudz ko citu. Dažos gadījumos pētnieki varēja identificēt otrās pakāpes lietderīgās slodzes, kas tika ievadītas bojātos WordPress serveros. Kampaņās hakeri izmantoja likumīgas Microsoft Azure mitinātās sistēmas, acīmredzot tāpēc, ka viņu IP adreses atradās tiešā tuvumā apdraudētajam tīklam.
Valsts sponsorētā grupa
Nobelium ir nosaukums, ko Microsoft piešķīris draudu izpildītājam, kas ir atbildīgs par masveida SolarWinds piegādes ķēdes uzbrukumu. Tā pati APT grupa tiek izsekota arī kā APT29 , Cozy Bear un Dukes. Pierādījumi liecina, ka grupai ir ciešas saites ar Krieviju vai arī tā ir valsts Ārējās izlūkošanas dienesta hakeru nodaļa.
Nobelium ir uzlabota hakeru grupa ar ievērojamiem resursiem, kurai ir piekļuve vairākiem pielāgotiem ļaunprātīgas programmatūras draudiem un rīkiem. Tās darbība ir vērsta uz ASV aģentūrām galvenokārt ar mērķi iegūt sensitīvu informāciju. Grupas jaunākās aktivitātes seko šim modelim, un tika novērots, ka hakeri no saviem upuriem izfiltrē vairākus dokumentus, kas, domājams, satur Krieviju īpaši interesējošu informāciju.
