Ceeloader Malware
Grupa Nobelium APT (Advanced Persistent Threat) nadal jest aktywna w krajobrazie cyberszpiegostwa. Tym razem działalność hakerów została ujawniona przez badaczy infosec. Zgodnie z ustaleniami, Nobelium nadal atakuje dostawców usług w chmurze i MSP (Managed Service Providers) jako sposób na uzyskanie wstępnego dostępu do wewnętrznych sieci ich prawdziwych celów. Badacze zauważają również, że cybergang nadal ujawnia nowe, niestandardowe zagrożenia złośliwym oprogramowaniem, tym razem w postaci nowego downloadera o nazwie Ceeloader.
Spis treści
Niestandardowe złośliwe oprogramowanie
Zagrożenie jest napisane w C i może wykonywać w pamięci ładunki szelkodu bez konieczności zapisywania ich na dysku. Do komunikacji z serwerem Command-and-Control (C2, C&C) zagrożenie wykorzystuje protokół HTTP, podczas gdy ruch przychodzący jest szyfrowany za pomocą AES-256 w trybie CBC. Ceeloader jest wdrażany na skompromitowanych systemach za pomocą radiolatarni Cobalt Strike i nie ustanawia żadnego własnego mechanizmu trwałości. Jego głównym zadaniem jest pobranie i rozmieszczenie ładunków następnego etapu ataku.
Techniki unikania
Aby utrudnić wykrywanie, Ceeloader jestmocno zaciemnione. Wywołania, które wykonuje do interfejsu API systemu Windows, są pomieszane między dużymi kawałkami niechcianego kodu. Nobelium stosuje również inne metody obejścia, takie jak domowe adresy IP jako serwery proxy, VPS i VPN przed uzyskaniem dostępu do zaatakowanego środowiska i nie tylko. W niektórych przypadkach badaczom udało się zidentyfikować ładunki drugiego etapu wstrzyknięte do złamanych serwerów WordPress. W kampaniach hakerzy korzystali najwyraźniej z legalnych systemów hostowanych na platformie Microsoft Azure, ponieważ ich adresy IP znajdowały się blisko zhakowanej sieci.
Grupa sponsorowana przez państwo
Nobelium to nazwa nadana przez Microsoft podmiotowi odpowiedzialnemu za zagrożenia odpowiedzialnemu za masowy atak na łańcuch dostaw SolarWinds. Ta sama grupa APT jest również śledzona jako APT29, Cozy Bear and the Dukes. Dowody wskazują, że grupa ta albo ma silne powiązania z Rosją, albo jest wręcz wydziałem hakerskim Służby Wywiadu Zagranicznego tego kraju.
Nobelium to zaawansowana grupa hakerska z dużymi zasobami, która ma dostęp do wielu niestandardowych zagrożeń i narzędzi złośliwego oprogramowania. Jej działania skierowane są do agencji amerykańskichgłównie w celu zdobycia poufnych informacji. Ostatnie działania grupy podążają za tym wzorcem, przy czym zaobserwowano, że hakerzy wykradają swoim ofiarom wiele dokumentów, które, jak się uważa, zawierają informacje szczególnie interesujące dla Rosji.
