Zlonamerna programska oprema Ceeloader
Skupina Nobelium APT (Advanced Persistent Threat) je še naprej aktivna na področju kibernetskega vohunjenja. Tokrat so aktivnosti hekerjev razkrili raziskovalci infosec. Glede na ugotovitve, Nobelium še vedno cilja na ponudnike oblakov in MSP (Managed Service Providers) kot sredstvo za pridobitev začetnega dostopa do notranjih omrežij njihovih resničnih ciljev. Raziskovalci tudi ugotavljajo, da cybergang še naprej razkriva nove grožnje zlonamerne programske opreme po meri, tokrat v obliki novega prenosnika z imenom Ceeloader.
Kazalo
Zlonamerna programska oprema po meri
Grožnja je zapisana v C in lahko izvaja koristne obremenitve shellcode v pomnilniku, ne da bi jih bilo treba zapisati na disk. Za komunikacijo s svojim strežnikom Command-and-Control (C2, C&C) grožnja uporablja HTTP, medtem ko je dohodni promet šifriran z AES-256 v načinu CBC. Ceeloader je nameščen v ogrožene sisteme prek svetilnika Cobalt Strike in ne vzpostavi nobenega lastnega mehanizma obstojnosti. Njegova glavna naloga je pridobiti in uporabiti naslednjo stopnjo napada.
Tehnike izogibanja
Da bi bilo odkrivanje toliko težje, je Ceeloader močno prikrito. Klici, ki jih opravi Windows API, so umešani med velike kose neželene kode. Nobelium uporablja tudi druge metode izogibanja, kot so stanovanjski naslovi IP kot proxyji, VPS in VPN pred dostopom do ogroženega okolja in drugo. V nekaterih primerih so raziskovalci lahko identificirali koristne obremenitve druge stopnje, vbrizgane v vlomljene strežnike WordPress. V kampanjah so hekerji uporabljali legitimne sisteme, ki jih gosti Microsoft Azure, očitno zaradi dejstva, da so bili njihovi naslovi IP v neposredni bližini ogroženega omrežja.
Skupina, ki jo sponzorira država
Nobelium je ime, ki ga je Microsoft dal akterju grožnje, odgovornemu za množičen napad na dobavno verigo SolarWinds. Isti skupini APT sledijo tudi APT29 , Cozy Bear in Dukes. Dokazi kažejo, da ima skupina bodisi tesne vezi z Rusijo ali pa je popolnoma hekerski oddelek državne zunanje obveščevalne službe.
Nobelium je napredna hekerska skupina z znatnimi viri, ki ima dostop do številnih groženj in orodij zlonamerne programske opreme po meri. Njegovo delovanje je usmerjeno v ameriške agencije predvsem s ciljem pridobiti občutljive informacije. Zadnje dejavnosti skupine sledijo temu vzorcu, pri čemer so opazili, da so hekerji od svojih žrtev izločili več dokumentov, za katere se domneva, da vsebujejo informacije, ki so še posebej zanimive za Rusijo.
