Ceeloader Malware
Kumpulan Nobelium APT (Advanced Persistent Threat) terus aktif dalam landskap pengintipan siber. Kali ini aktiviti penggodam didedahkan oleh penyelidik infosec. Menurut penemuan, Nobelium masih menyasarkan penyedia awan dan MSP (Penyedia Perkhidmatan Terurus) sebagai satu cara untuk mendapatkan akses awal kepada rangkaian dalaman sasaran sebenar mereka. Para penyelidik juga mendapati bahawa cybergang itu terus mendedahkan ancaman perisian hasad buatan tersuai baharu, kali ini dalam bentuk pemuat turun baharu bernama Ceeloader.
Isi kandungan
Perisian Hasad Tersuai
Ancaman ditulis dalam C dan boleh melaksanakan muatan kod shell dalam memori tanpa perlu menulisnya pada cakera. Untuk berkomunikasi dengan pelayan Command-and-Control (C2, C&C), ancaman menggunakan HTTP, manakala trafik masuk disulitkan dengan AES-256 dalam mod CBC. Ceeloader digunakan pada sistem yang terjejas melalui suar Cobalt Strike dan tidak mewujudkan sebarang mekanisme kegigihannya sendiri. Tugas utamanya adalah untuk mengambil dan menggunakan muatan peringkat seterusnya bagi serangan itu.
Teknik Mengelak
Untuk membuat pengesanan yang lebih sukar, Ceeloader adalah dikelirukan dengan berat. Panggilan yang dibuatnya kepada Windows API diragut antara sebahagian besar kod sampah. Nobelium juga menggunakan kaedah pengelakan lain, seperti alamat IP kediaman sebagai proksi, VPS dan VPN sebelum mengakses persekitaran yang terjejas dan banyak lagi. Dalam sesetengah keadaan, penyelidik dapat mengenal pasti muatan peringkat kedua yang disuntik ke dalam pelayan WordPress yang dilanggar. Dalam kempen, penggodam menggunakan sistem yang dihoskan Microsoft Azure yang sah nampaknya, disebabkan oleh fakta bahawa alamat IP mereka berdekatan dengan rangkaian yang terjejas.
Kumpulan Tajaan Negara
Nobelium ialah nama yang diberikan oleh Microsoft kepada aktor ancaman yang bertanggungjawab ke atas serangan rantaian bekalan SolarWinds yang besar-besaran. Kumpulan APT yang sama turut dijejaki sebagai APT29 , Cozy Bear dan Dukes. Bukti menunjukkan bahawa kumpulan itu sama ada mempunyai hubungan kuat dengan Rusia atau langsung merupakan bahagian penggodaman Perkhidmatan Perisikan Asing negara itu.
Nobelium ialah kumpulan penggodaman lanjutan dengan sumber yang besar yang mempunyai akses kepada berbilang ancaman dan alatan perisian hasad buatan tersuai. Operasinya disasarkan kepada agensi AS terutamanya, dengan matlamat untuk memperoleh maklumat sensitif. Aktiviti terbaharu kumpulan itu mengikut corak ini, dengan penggodam diperhatikan untuk mengeluarkan berbilang dokumen daripada mangsa mereka yang dipercayai mengandungi maklumat yang menarik minat Rusia.
