Ceeloader मालवेयर
नोबेलियम एपीटी (उन्नत पर्सिस्टेन्ट थ्रेट) समूह साइबर-जासुसी परिदृश्यमा सक्रिय रहन्छ। यस पटक इन्फोसेक अनुसन्धानकर्ताहरूले ह्याकरहरूको गतिविधि खुलासा गरेका छन्। खोजहरूका अनुसार, नोबेलियमले अझै पनि क्लाउड प्रदायकहरू र MSP (प्रबन्धित सेवा प्रदायकहरू) लाई उनीहरूको वास्तविक लक्ष्यहरूको आन्तरिक नेटवर्कहरूमा प्रारम्भिक पहुँच प्राप्त गर्ने माध्यमको रूपमा लक्षित गरिरहेको छ। अन्वेषकहरूले यो पनि नोट गरे कि साइबरग्याङले नयाँ कस्टम-मेड मालवेयर खतराहरू प्रकट गर्न जारी राखेको छ, यस पटक Ceeloader नामको नयाँ डाउनलोडरको रूपमा।
सामग्रीको तालिका
कस्टम मालवेयर
धम्की C मा लेखिएको छ र तिनीहरूलाई डिस्कमा लेख्न आवश्यक बिना मेमोरीमा शेलकोड पेलोडहरू कार्यान्वयन गर्न सक्छ। यसको Command-and-Control (C2, C&C) सर्भरसँग सञ्चार गर्न, खतराले HTTP प्रयोग गर्छ, जबकि आगमन ट्राफिक CBC मोडमा AES-256 सँग इन्क्रिप्ट गरिएको छ। Ceeloader कोबाल्ट स्ट्राइक बीकन मार्फत सम्झौता प्रणालीहरूमा तैनात गरिएको छ र यसको आफ्नै कुनै पनि दृढता संयन्त्र स्थापना गर्दैन। यसको मुख्य कार्य आक्रमणको अर्को चरणको पेलोडहरू ल्याउन र तैनाती गर्नु हो।
चोरी प्रविधिहरू
पत्ता लगाउन धेरै गाह्रो छ, Ceeloader छ भारी अस्पष्ट। यसले विन्डोज एपीआईमा गर्ने कलहरू जंक कोडको ठूला टुक्राहरू बीच स्क्र्याम्बल गरिन्छ। नोबेलियमले अन्य चोरी विधिहरू पनि प्रयोग गर्दछ, जस्तै आवासीय आईपी ठेगानाहरू जस्तै प्रोक्सीहरू, VPS र VPN सम्झौता गरिएको वातावरणमा पहुँच गर्नु अघि र थप। केहि उदाहरणहरूमा, अन्वेषकहरूले उल्लङ्घन गरिएको वर्डप्रेस सर्भरहरूमा इन्जेक्ट गरिएको दोस्रो-चरण पेलोडहरू पहिचान गर्न सक्षम थिए। अभियानहरूमा, ह्याकरहरूले वैध Microsoft Azure-होस्टेड प्रणालीहरू प्रयोग गरे, तिनीहरूको IP ठेगानाहरू सम्झौता गरिएको नेटवर्कसँग नजिक भएको तथ्यको कारणले।
राष्ट्र-प्रायोजित समूह
नोबेलियम माइक्रोसफ्टले ठूलो सोलारविन्ड्स आपूर्ति-श्रृंखला आक्रमणको लागि जिम्मेवार खतरा अभिनेतालाई दिएको नाम हो। उही APT समूह APT29 , Cozy Bear र Dukes को रूपमा पनि ट्र्याक गरिएको छ। प्रमाणहरूले सुझाव दिन्छ कि समूहको या त रूससँग बलियो सम्बन्ध छ वा देशको विदेशी खुफिया सेवाको ह्याकिङ डिभिजन हो।
नोबेलियम एक उन्नत ह्याकिङ समूह हो जसमा धेरै कस्टम-मेड मालवेयर खतराहरू र उपकरणहरूमा पहुँच छ। यसको कार्यहरू अमेरिकी एजेन्सीहरूमा लक्षित छन् मुख्यतया, संवेदनशील जानकारी प्राप्त गर्ने लक्ष्यको साथ। समूहका नवीनतम गतिविधिहरूले यस ढाँचालाई पछ्याउँछन्, ह्याकरहरूले उनीहरूका पीडितहरूबाट धेरै कागजातहरू बाहिर निकाल्ने देखेका छन् जसमा रूसको लागि विशेष चासोको जानकारी समावेश छ भन्ने विश्वास गरिन्छ।
