Ceeloader Malware
Nobelium APT (Gelişmiş Kalıcı Tehdit) grubu, siber casusluk ortamında aktif olmaya devam ediyor. Bu kez bilgisayar korsanlarının faaliyetleri infosec araştırmacıları tarafından ortaya çıktı. Bulgulara göre Nobelium, gerçek hedeflerinin iç ağlarına ilk erişim elde etmek için bulut sağlayıcılarını ve MSP'yi (Yönetilen Hizmet Sağlayıcıları) hala hedefliyor. Araştırmacılar ayrıca, siber çetenin bu sefer Ceeloader adlı yeni bir indirici biçiminde yeni özel yapım kötü amaçlı yazılım tehditlerini ortaya çıkarmaya devam ettiğini de belirtiyorlar.
İçindekiler
Özel Kötü Amaçlı Yazılım
Tehdit C ile yazılmıştır ve diske yazmaya gerek kalmadan bellekte kabuk kodu yüklerini çalıştırabilir. Komut ve Kontrol (C2, C&C) sunucusuyla iletişim kurmak için tehdit HTTP kullanır, gelen trafik ise CBC modunda AES-256 ile şifrelenir. Ceeloader, güvenliği ihlal edilmiş sistemlere bir Cobalt Strike beacon aracılığıyla dağıtılır ve kendi kalıcılık mekanizması oluşturmaz. Ana görevi, saldırının sonraki aşama yüklerini getirmek ve dağıtmaktır.
Kaçınma Teknikleri
Tespiti çok daha zor hale getirmek için Ceeloaderyoğun bir şekilde karıştırdı. Windows API'sine yaptığı çağrılar, büyük gereksiz kod parçaları arasında karıştırılıyor. Nobelium ayrıca, güvenliği ihlal edilmiş ortama erişmeden önce proxy gibi konut IP adresleri, VPS ve VPN gibi diğer kaçınma yöntemlerini ve daha fazlasını kullanır. Bazı durumlarda, araştırmacılar, ihlal edilmiş WordPress sunucularına enjekte edilen ikinci aşama yükleri tanımlayabildiler. Hackerlar, IP adreslerinin ele geçirilmiş ağa yakın olması nedeniyle, kampanyalarda görünüşe göre Microsoft Azure tarafından barındırılan meşru sistemleri kullandılar.
Ulus-Sponsorlu Grup
Nobelium, Microsoft tarafından devasa SolarWinds tedarik zinciri saldırısından sorumlu tehdit aktörüne verilen isimdir. Aynı APT grubu, APT29, Cozy Bear ve Dukes olarak da izlenmektedir. Kanıtlar, grubun ya Rusya ile güçlü bağları olduğunu ya da doğrudan ülkenin Dış İstihbarat Servisi'nin bir hack bölümü olduğunu gösteriyor.
Nobelium, çok sayıda özel yapım kötü amaçlı yazılım tehdidine ve aracına erişimi olan büyük kaynaklara sahip gelişmiş bir bilgisayar korsanlığı grubudur. Operasyonları ABD ajanslarını hedef alıyorağırlıklı olarak, hassas bilgileri elde etme amacıyla. Grubun en son faaliyetleri, bilgisayar korsanlarının kurbanlarından Rusya'yı özellikle ilgilendiren bilgiler içerdiğine inanılan çok sayıda belgeyi sızdırdığı gözlemlenerek bu modeli takip ediyor.
