Ceeloader-malware
De Nobelium APT-groep (Advanced Persistent Threat) blijft actief in het cyberspionagelandschap. Deze keer werden de activiteiten van de hackers onthuld door infosec-onderzoekers. Volgens de bevindingen richt Nobelium zich nog steeds op cloudproviders en MSP (Managed Service Providers) als een middel om eerste toegang te krijgen tot de interne netwerken van hun echte doelen. De onderzoekers merken ook op dat de cyberbende nieuwe, op maat gemaakte malwarebedreigingen blijft onthullen, dit keer in de vorm van een nieuwe downloader genaamd Ceeloader.
Inhoudsopgave
Aangepaste malware
De dreiging is geschreven in C en kan shellcode-payloads in het geheugen uitvoeren zonder dat ze op schijf hoeven te worden geschreven. Om te communiceren met zijn Command-and-Control (C2, C&C)-server, gebruikt de dreiging HTTP, terwijl het inkomende verkeer wordt versleuteld met AES-256 in CBC-modus. Ceeloader wordt ingezet op de gecompromitteerde systemen via een Cobalt Strike- baken en stelt zelf geen persistentiemechanisme in. De belangrijkste taak is het ophalen en inzetten van de volgende fase van de aanval.
Ontwijkingstechnieken
Om detectie zo veel moeilijker te maken, is Ceeloader:zwaar verduisterd. De oproepen die het doet naar de Windows API worden vervormd tussen grote brokken ongewenste code. Nobelium maakt ook gebruik van andere ontwijkingsmethoden, zoals residentiële IP-adressen als proxy's, VPS en VPN voordat toegang wordt verkregen tot de gecompromitteerde omgeving en meer. In sommige gevallen waren onderzoekers in staat om payloads van de tweede fase te identificeren die waren geïnjecteerd in gehackte WordPress-servers. In de campagnes gebruikten de hackers blijkbaar legitieme door Microsoft Azure gehoste systemen, omdat hun IP-adressen zich dicht bij het gecompromitteerde netwerk bevonden.
Door het land gesponsorde groep
Nobelium is de naam die Microsoft heeft gegeven aan de dreigingsactor die verantwoordelijk is voor de massale aanval op de toeleveringsketen van SolarWinds. Dezelfde APT-groep wordt ook gevolgd als APT29, Cosy Bear and the Dukes. Er zijn aanwijzingen dat de groep ofwel sterke banden heeft met Rusland of ronduit een hackafdeling is van de buitenlandse inlichtingendienst van het land.
Nobelium is een geavanceerde hackgroep met omvangrijke middelen die toegang heeft tot meerdere op maat gemaakte malwarebedreigingen en tools. Haar activiteiten zijn gericht op Amerikaanse agentschappenvoornamelijk, met als doel gevoelige informatie te verkrijgen. De nieuwste activiteiten van de groep volgen dit patroon, waarbij de hackers werden waargenomen om meerdere documenten van hun slachtoffers te exfiltreren waarvan wordt aangenomen dat ze informatie bevatten die van bijzonder belang is voor Rusland.
