Malvér Ceeloader
Skupina Nobelium APT (Advanced Persistent Threat) je naďalej aktívna v oblasti kyberšpionáže. Tentoraz aktivity hackerov odhalili výskumníci z infosecu. Podľa zistení sa Nobelium stále zameriava na poskytovateľov cloudu a MSP (Managed Service Providers) ako prostriedok na získanie počiatočného prístupu k interným sieťam ich skutočných cieľov. Výskumníci tiež poznamenávajú, že kybergang pokračuje v odhaľovaní nových na mieru vyrobených malvérových hrozieb, tentoraz vo forme nového sťahovača s názvom Ceeloader.
Obsah
Vlastný malvér
Hrozba je napísaná v jazyku C a môže spustiť užitočné zaťaženie shell kódu v pamäti bez toho, aby bolo potrebné ich zapisovať na disk. Na komunikáciu so svojím serverom Command-and-Control (C2, C&C) používa hrozba HTTP, zatiaľ čo prichádzajúca komunikácia je šifrovaná pomocou AES-256 v režime CBC. Ceeloader je nasadený do napadnutých systémov prostredníctvom majáku Cobalt Strike a nevytvára žiadny vlastný mechanizmus pretrvávania. Jeho hlavnou úlohou je získať a nasadiť užitočné zaťaženie v ďalšej fáze útoku.
Únikové techniky
Aby bola detekcia oveľa ťažšia, je to Ceeloader silne zahmlený. Volania, ktoré robí do Windows API, sú zakódované medzi veľkými blokmi nevyžiadaného kódu. Nobelium využíva aj iné spôsoby vyhýbania sa, ako sú rezidenčné IP adresy ako proxy, VPS a VPN pred prístupom do kompromitovaného prostredia a ďalšie. V niektorých prípadoch vedci dokázali identifikovať užitočné zaťaženie druhej fázy vložené do narušených serverov WordPress. V kampaniach hackeri zjavne používali legitímne systémy hostené v Microsoft Azure, pretože ich IP adresy boli v tesnej blízkosti napadnutej siete.
národom sponzorovaná skupina
Nobelium je názov, ktorý spoločnosť Microsoft pomenovala aktérovi hrozby zodpovednému za masívny útok na dodávateľský reťazec SolarWinds. Rovnaká skupina APT je tiež sledovaná ako APT29 , Cozy Bear a Dukes. Dôkazy naznačujú, že skupina má buď silné väzby na Rusko, alebo je priamo hackerskou divíziou tamojšej zahraničnej spravodajskej služby.
Nobelium je pokročilá hackerská skupina so značnými zdrojmi, ktorá má prístup k viacerým na mieru vyrobeným malvérovým hrozbám a nástrojom. Jej operácie sú zamerané na americké agentúry prevažne s cieľom získať citlivé informácie. Najnovšie aktivity skupiny sa riadia týmto vzorom, pričom hackeri boli pozorovaní, ako od svojich obetí vylúštili viaceré dokumenty, o ktorých sa predpokladá, že obsahujú informácie mimoriadne zaujímavé pre Rusko.
