Ceeloader Malware
Ang pangkat ng Nobelium APT (Advanced Persistent Threat) ay patuloy na aktibo sa cyber-espionage landscape. Sa pagkakataong ito ang mga aktibidad ng mga hacker ay inihayag ng mga mananaliksik ng infosec. Ayon sa mga natuklasan, tina- target pa rin ng Nobelium ang mga cloud provider at MSP (Managed Service Provider) bilang isang paraan upang makakuha ng paunang access sa mga panloob na network ng kanilang mga tunay na target. Napansin din ng mga mananaliksik na ang cybergang ay patuloy na naghahayag ng mga bagong custom-made na banta sa malware, sa pagkakataong ito sa anyo ng isang bagong downloader na pinangalanang Ceeloader.
Talaan ng mga Nilalaman
Custom na Malware
Ang banta ay nakasulat sa C at maaaring magsagawa ng mga shellcode payload sa memorya nang hindi kailangang isulat ang mga ito sa disc. Para makipag-ugnayan sa Command-and-Control (C2, C&C) server nito, gumagamit ang pagbabanta ng HTTP, habang ang papasok na trapiko ay naka-encrypt gamit ang AES-256 sa CBC mode. Na-deploy ang Ceeloader sa mga nakompromisong system sa pamamagitan ng isang Cobalt Strike beacon at hindi nagtatatag ng sarili nitong mekanismo ng pagtitiyaga. Ang pangunahing gawain nito ay kunin at i-deploy ang mga susunod na yugto ng mga payload ng pag-atake.
Mga Pamamaraan sa Pag-iwas
Upang gawing mas mahirap ang pagtuklas, ang Ceeloader ay obfuscated mabigat. Ang mga tawag na ginagawa nito sa Windows API ay pinag-uusapan sa malalaking tipak ng junk code. Gumagamit din ang Nobelium ng iba pang paraan ng pag-iwas, tulad ng mga IP address ng tirahan bilang mga proxy, VPS at VPN bago i-access ang nakompromisong kapaligiran at higit pa. Sa ilang pagkakataon, natukoy ng mga mananaliksik ang mga second-stage na payload na na-inject sa mga nalabag na server ng WordPress. Sa mga kampanya, ang mga hacker ay gumamit ng mga lehitimong sistemang naka-host ng Microsoft Azure, dahil sa katotohanan na ang kanilang mga IP address ay malapit sa nakompromisong network.
Nation-Sponsored Group
Ang Nobelium ay ang pangalang ibinigay ng Microsoft sa threat actor na responsable para sa napakalaking pag-atake ng supply-chain ng SolarWinds. Ang parehong pangkat ng APT ay sinusubaybayan din bilang APT29 , Cozy Bear at ang Dukes. Ang ebidensiya ay nagmumungkahi na ang grupo ay maaaring magkaroon ng malakas na ugnayan sa Russia o tahasan ay isang hacking division ng Foreign Intelligence Service ng bansa.
Ang Nobelium ay isang advanced na pangkat sa pag-hack na may malalaking mapagkukunan na may access sa maraming custom-made na banta at tool sa malware. Ang mga operasyon nito ay naka-target sa mga ahensya ng US higit sa lahat, na may layuning makakuha ng sensitibong impormasyon. Ang pinakabagong mga aktibidad ng grupo ay sumusunod sa pattern na ito, kung saan ang mga hacker ay sinusunod na nag-exfiltrate ng maraming dokumento mula sa kanilang mga biktima na pinaniniwalaang naglalaman ng impormasyong partikular na interes sa Russia.
