Ceeloader Malware
Grupul Nobelium APT (Advanced Persistent Threat) continuă să fie activ în peisajul spionajului cibernetic. De data aceasta, activitățile hackerilor au fost dezvăluite de cercetătorii Infosec. Potrivit constatărilor, Nobelium vizează în continuare furnizorii de cloud și MSP (Managed Service Providers) ca mijloc de a obține acces inițial la rețelele interne ale adevăratelor lor ținte. Cercetătorii observă, de asemenea, că cybergang-ul continuă să dezvăluie noi amenințări malware personalizate, de data aceasta sub forma unui nou program de descărcare numit Ceeloader.
Cuprins
Malware personalizat
Amenințarea este scrisă în C și poate executa încărcături utile shellcode în memorie fără a fi nevoie să le scrieți pe disc. Pentru a comunica cu serverul său Command-and-Control (C2, C&C), amenințarea folosește HTTP, în timp ce traficul de intrare este criptat cu AES-256 în modul CBC. Ceeloader este implementat în sistemele compromise printr-o baliză Cobalt Strike și nu stabilește niciun mecanism propriu de persistență. Sarcina sa principală este să preia și să desfășoare încărcăturile utile din etapa următoare a atacului.
Tehnici de evaziune
Pentru a face detectarea mult mai dificilă, Ceeloader este ofuscată puternic. Apelurile pe care le face către API-ul Windows sunt amestecate printre bucăți mari de cod nedorit. Nobelium folosește și alte metode de evaziune, cum ar fi adrese IP rezidențiale ca proxy, VPS și VPN înainte de a accesa mediul compromis și multe altele. În unele cazuri, cercetătorii au reușit să identifice încărcăturile utile din a doua etapă injectate în serverele WordPress încălcate. În campanii, hackerii au folosit sisteme legitime găzduite de Microsoft Azure, aparent, din cauza faptului că adresele lor IP erau aproape de rețeaua compromisă.
Grupul sponsorizat de națiune
Nobelium este numele dat de Microsoft actorului de amenințare responsabil pentru atacul masiv al lanțului de aprovizionare SolarWinds. Același grup APT este urmărit și ca APT29 , Cozy Bear and the Dukes. Dovezile sugerează că grupul fie are legături puternice cu Rusia, fie este o divizie de hacking a Serviciului de Informații Externe al țării.
Nobelium este un grup avansat de hacking, cu resurse considerabile, care are acces la mai multe amenințări și instrumente malware personalizate. Operațiunile sale sunt direcționate către agențiile americane predominant, cu scopul de a obține informații sensibile. Cele mai recente activități ale grupului urmează acest tipar, observându-se că hackerii exfiltreu mai multe documente de la victimele lor despre care se crede că conțin informații de interes deosebit pentru Rusia.
