Зловмисне програмне забезпечення Ceeloader
Група Nobelium APT (Advanced Persistent Threat) продовжує діяти у сфері кібершпигунства. Цього разу діяльність хакерів розкрили дослідники Infosec. Згідно з висновками, Nobelium все ще орієнтується на хмарних провайдерів і MSP (керованих постачальників послуг) як засіб для отримання початкового доступу до внутрішніх мереж їхніх справжніх цілей. Дослідники також відзначають, що cybergang продовжує виявляти нові загрози зловмисного програмного забезпечення, на цей раз у вигляді нового завантажувача під назвою Ceeloader.
Зміст
Спеціальне шкідливе програмне забезпечення
Загроза написана на C і може виконувати корисні навантаження шелл-коду в пам'яті без необхідності записувати їх на диск. Для зв’язку зі своїм сервером командування й керування (C2, C&C) загроза використовує HTTP, а вхідний трафік шифрується за допомогою AES-256 у режимі CBC. Ceeloader розгортається на скомпрометованих системах за допомогою маяка Cobalt Strike і не встановлює жодного власного механізму збереження. Його головне завдання — отримати та розгорнути корисні навантаження наступного етапу атаки.
Техніки ухилення
Щоб зробити виявлення набагато складніше, Ceeloader сильно заплутаний. Виклики, які він здійснює до Windows API, зашифровуються серед великих шматків небажаного коду. Nobelium також використовує інші методи ухилення, такі як домашні IP-адреси, як проксі, VPS і VPN перед доступом до скомпрометованого середовища тощо. У деяких випадках дослідникам вдалося визначити корисні навантаження другого етапу, введені в зламані сервери WordPress. У кампаніях хакери використовували легітимні системи на базі Microsoft Azure, очевидно, через те, що їхні IP-адреси були близькі до зламаної мережі.
Група, спонсорована нацією
Нобеліум — це ім’я, яке Microsoft дала загрозі, відповідальному за масову атаку на ланцюг поставок SolarWinds. Ця ж група APT також відстежується як APT29 , Cosy Bear and the Dukes. Дані свідчать про те, що угруповання або має міцні зв’язки з Росією, або є хакерським підрозділом Служби зовнішньої розвідки країни.
Nobelium — це просунута хакерська група зі значними ресурсами, яка має доступ до кількох спеціально створених шкідливих програм та інструментів. Його операції спрямовані на агентства США переважно з метою отримання конфіденційної інформації. Останні дії угруповання йдуть за цією схемою, коли хакери викрадають у своїх жертв кілька документів, які, як вважають, містять інформацію, що представляє особливий інтерес для Росії.
