Malware Ceeloader
Grupi Nobelium APT (Kërcënimi i Përparuar i Përparuar) vazhdon të jetë aktiv në peizazhin e spiunazhit kibernetik. Këtë herë aktivitetet e hakerëve u zbuluan nga studiuesit e infosec. Sipas gjetjeve, Nobelium po synon ende ofruesit e cloud dhe MSP (Managed Service Providers) si një mjet për të fituar akses fillestar në rrjetet e brendshme të objektivave të tyre të vërtetë. Studiuesit vërejnë gjithashtu se cybergang po vazhdon të zbulojë kërcënime të reja malware të bëra me porosi, këtë herë në formën e një shkarkuesi të ri të quajtur Ceeloader.
Tabela e Përmbajtjes
Malware i personalizuar
Kërcënimi është i shkruar në C dhe mund të ekzekutojë ngarkesa të kodit shell në memorie pa pasur nevojë t'i shkruajë ato në disk. Për të komunikuar me serverin e tij Command-and-Control (C2, C&C), kërcënimi përdor HTTP, ndërsa trafiku në hyrje është i koduar me AES-256 në modalitetin CBC. Ceeloader është vendosur në sistemet e komprometuara nëpërmjet një fener Cobalt Strike dhe nuk krijon asnjë mekanizëm të vetin qëndrueshmërie. Detyra e tij kryesore është të marrë dhe të vendosë ngarkesën e sulmit në fazën tjetër.
Teknikat e Evazionit
Për ta bërë zbulimin shumë më të vështirë, Ceeloader është i turbulluar shumë. Thirrjet që ai bën në API të Windows janë të gërvishtura midis copave të mëdha të kodit të padëshiruar. Nobelium përdor gjithashtu metoda të tjera evazioni, të tilla si adresat IP të banimit si përfaqësues, VPS dhe VPN përpara se të hyjë në mjedisin e komprometuar dhe më shumë. Në disa raste, studiuesit ishin në gjendje të identifikonin ngarkesat e fazës së dytë të injektuara në serverët e prishur të WordPress. Në fushata, hakerët përdorën sisteme legjitime të strehuara nga Microsoft Azure me sa duket, për faktin se adresat e tyre IP kishin afërsi të rrjetit të komprometuar.
Grupi i sponsorizuar nga Kombi
Nobelium është emri i dhënë nga Microsoft për aktorin e kërcënimit përgjegjës për sulmin masiv të zinxhirit të furnizimit SolarWinds. I njëjti grup APT gjurmohet gjithashtu si APT29 , Cozy Bear and the Dukes. Provat sugjerojnë se grupi ose ka lidhje të forta me Rusinë ose është një divizion hakerash i Shërbimit të Inteligjencës së Jashtme të vendit.
Nobelium është një grup i avancuar hakerimi me burime të konsiderueshme që ka akses në kërcënime dhe mjete të shumta malware të bëra me porosi. Operacionet e saj janë në shënjestër të agjencive amerikane kryesisht, me synimin për të marrë informacion të ndjeshëm. Aktivitetet e fundit të grupit ndjekin këtë model, me hakerët që vëzhgohen të nxjerrin dokumente të shumta nga viktimat e tyre që besohet se përmbajnë informacione me interes të veçantë për Rusinë.
