มัลแวร์ Ceeloader
กลุ่ม Nobelium APT (Advanced Persistent Threat) ยังคงมีบทบาทในการจารกรรมทางไซเบอร์ คราวนี้นักวิจัยของ infosec เปิดเผยกิจกรรมของแฮกเกอร์ จากผลการวิจัย Nobelium ยังคงตั้งเป้าไปที่ผู้ให้บริการระบบคลาวด์และ MSP (Managed Service Providers) เพื่อเข้าถึงเครือข่ายภายในของเป้าหมายที่แท้จริงในเบื้องต้น นักวิจัยยังทราบด้วยว่าอาชญากรไซเบอร์ยังคงเปิดเผยภัยคุกคามมัลแวร์ที่สร้างขึ้นเองอย่างต่อเนื่อง คราวนี้มาในรูปแบบของตัวดาวน์โหลดใหม่ชื่อ Ceeloader
สารบัญ
มัลแวร์ที่กำหนดเอง
ภัยคุกคามเขียนด้วยภาษา C และสามารถรันเชลล์โค้ดเพย์โหลดในหน่วยความจำโดยไม่จำเป็นต้องเขียนลงบนดิสก์ ในการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ภัยคุกคามนั้นใช้ HTTP ในขณะที่การรับส่งข้อมูลขาเข้าจะถูกเข้ารหัสด้วย AES-256 ในโหมด CBC Ceeloader ถูกนำไปใช้กับระบบที่ถูกบุกรุกผ่าน สัญญาณ Cobalt Strike และไม่ได้สร้างกลไกการคงอยู่ของตัวเอง ภารกิจหลักคือการดึงและปรับใช้ข้อมูลในขั้นต่อไปของการโจมตี
เทคนิคการหลบหลีก
เพื่อให้การตรวจจับยากขึ้นมาก Ceeloader คือ งงหนักมาก การเรียกใช้ Windows API นั้นถูกรบกวนระหว่างโค้ดขยะขนาดใหญ่ Nobelium ยังใช้วิธีหลบเลี่ยงอื่นๆ เช่น ที่อยู่ IP ที่อยู่อาศัยเป็นพร็อกซี VPS และ VPN ก่อนเข้าถึงสภาพแวดล้อมที่ถูกบุกรุก และอื่นๆ ในบางกรณี นักวิจัยสามารถระบุเพย์โหลดขั้นที่สองที่ถูกฉีดเข้าไปในเซิร์ฟเวอร์ WordPress ที่ถูกละเมิด ในแคมเปญ แฮกเกอร์ใช้ระบบที่โฮสต์โดย Microsoft Azure ที่ถูกต้อง เนื่องจากที่อยู่ IP ของพวกเขาอยู่ใกล้กับเครือข่ายที่ถูกบุกรุก
กลุ่มประเทศที่สนับสนุน
Nobelium เป็นชื่อที่ Microsoft ตั้งให้กับผู้คุกคามที่รับผิดชอบการโจมตี SolarWinds ขนาดใหญ่ กลุ่ม APT เดียวกันนั้นถูกติดตามด้วย APT29 , Cozy Bear และ Dukes หลักฐานแสดงให้เห็นว่ากลุ่มนี้มีความสัมพันธ์ที่แน่นแฟ้นกับรัสเซียหรือเป็นแผนกแฮ็คของหน่วยข่าวกรองต่างประเทศของประเทศ
Nobelium เป็นกลุ่มแฮ็คขั้นสูงที่มีทรัพยากรขนาดใหญ่ที่สามารถเข้าถึงภัยคุกคามและเครื่องมือมัลแวร์ที่สร้างเองได้หลายรายการ การดำเนินงานมีเป้าหมายที่หน่วยงานของสหรัฐอเมริกา โดยมีเป้าหมายเพื่อให้ได้มาซึ่งข้อมูลที่ละเอียดอ่อน กิจกรรมล่าสุดของกลุ่มเป็นไปตามรูปแบบนี้ โดยมีการสังเกตแฮ็กเกอร์เพื่อขโมยเอกสารหลายฉบับจากเหยื่อของพวกเขาซึ่งเชื่อว่ามีข้อมูลที่น่าสนใจโดยเฉพาะสำหรับรัสเซีย
