Вредоносное ПО Ceeloader
Группа Nobelium APT (Advanced Persistent Threat) продолжает активную деятельность в сфере кибершпионажа. На этот раз действия хакеров раскрыли исследователи информационной безопасности. Согласно результатам исследования, Nobelium по-прежнему нацелен на поставщиков облачных услуг и поставщиков управляемых услуг (MSP) в качестве средства для получения первоначального доступа к внутренним сетям своих истинных целей. Исследователи также отмечают, что кибергруппа продолжает выявлять новые нестандартные вредоносные программы, на этот раз в виде нового загрузчика под названием Ceeloader.
Оглавление
Специальное вредоносное ПО
Угроза написана на C и может выполнять полезные данные шелл-кода в памяти без необходимости записывать их на диск. Для связи со своим сервером Command-and-Control (C2, C&C) угроза использует протокол HTTP, а входящий трафик шифруется с помощью AES-256 в режиме CBC. Ceeloader развертывается в скомпрометированных системах через маяк Cobalt Strike и не устанавливает никаких собственных механизмов сохранения. Его основная задача - получить и развернуть полезные данные следующего этапа атаки.
Техники уклонения
Чтобы сделать обнаружение намного сложнее, Ceeloaderсильно запутанный. Вызовы, которые он делает к Windows API, скремблируются среди больших фрагментов мусорного кода. Nobelium также использует другие методы обхода, такие как домашние IP-адреса в качестве прокси, VPS и VPN перед доступом к скомпрометированной среде и многое другое. В некоторых случаях исследователям удавалось идентифицировать полезные нагрузки второго уровня, внедряемые в взломанные серверы WordPress. В своих кампаниях хакеры использовали легитимные системы, размещенные в Microsoft Azure, по-видимому, из-за того, что их IP-адреса находились в непосредственной близости от скомпрометированной сети.
Группа, спонсируемая государством
Nobelium - это имя, данное Microsoft злоумышленнику, ответственному за массовую атаку цепочки поставок SolarWinds. Эта же группа APT также отслеживается как APT29 , Cozy Bear и Dukes. Факты свидетельствуют о том, что группа либо имеет прочные связи с Россией, либо является прямым хакерским подразделением Службы внешней разведки страны.
Nobelium - это продвинутая хакерская группа с большими ресурсами, которая имеет доступ к множеству специально созданных вредоносных программ и инструментов. Его операции нацелены на агентства США.преимущественно с целью получения конфиденциальной информации. Последние действия группы следуют этой схеме: хакеры похищают несколько документов от своих жертв, которые, как считается, содержат информацию, представляющую особый интерес для России.