Цеелоадер Малваре
Група Нобелиум АПТ (Адванцед Персистент Тхреат) наставља да буде активна у области сајбер шпијунаже. Овог пута хакерске активности открили су истраживачи инфосец-а. Према налазима, Нобелиум и даље циља на провајдере облака и МСП (провајдере управљаних услуга) као средство за добијање почетног приступа интерним мрежама њихових правих циљева. Истраживачи такође примећују да сајберганг наставља да открива нове претње малвера направљене по мери, овог пута у облику новог програма за преузимање под називом Цеелоадер.
Преглед садржаја
Прилагођени малвер
Претња је написана у Ц-у и може да изврши корисна оптерећења шелкода у меморији без потребе да их запише на диск. За комуникацију са својим сервером за команду и контролу (Ц2, Ц&Ц), претња користи ХТТП, док је долазни саобраћај шифрован помоћу АЕС-256 у ЦБЦ режиму. Цеелоадер се поставља на компромитоване системе преко Цобалт Стрике беацон-а и не успоставља никакав сопствени механизам постојаности. Његов главни задатак је да дохвати и примени следећу фазу напада.
Технике избегавања
Да би откривање било много теже, Цеелоадер је замућен јако. Позиви које он упућује Виндовс АПИ-ју су шифровани међу великим комадима нежељеног кода. Нобелиум такође користи друге методе избегавања, као што су стамбене ИП адресе као проксији, ВПС и ВПН пре приступа компромитованом окружењу и још много тога. У неким случајевима, истраживачи су били у могућности да идентификују корисне терете друге фазе убризгане у пробијене ВордПресс сервере. У кампањама су хакери користили легитимне системе хостоване на Мицрософт Азуреу, очигледно због чињенице да су њихове ИП адресе биле у непосредној близини компромитоване мреже.
Група коју спонзорише нација
Нобелијум је име које је Мицрософт дао актеру претње одговорном за масовни напад на ланац снабдевања СоларВиндс-а. Иста АПТ група се такође прати као АПТ29 , Цоси Беар анд тхе Дукес. Докази сугеришу да ова група или има јаке везе са Русијом или је директно хакерско одељење Спољне обавештајне службе земље.
Нобелиум је напредна хакерска група са значајним ресурсима која има приступ вишеструким претњама и алатима малвера направљеним по мери. Његове операције су усмерене на америчке агенције претежно, са циљем да се прибаве осетљиве информације. Последње активности групе прате овај образац, при чему се примећује да хакери ексфилтрирају више докумената својих жртава за које се верује да садрже информације од посебног интереса за Русију.
