Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) Phần mềm độc hại Ceeloader

Phần mềm độc hại Ceeloader

Đến năm Mezo năm Advanced Persistent Threat (APT), Malware
Dịch sang:
Tiếng Việt Nam

Nhóm Nobelium APT (Mối đe dọa dai dẳng nâng cao) tiếp tục hoạt động tích cực trong bối cảnh gián điệp mạng. Lần này các hoạt động của tin tặc đã được các nhà nghiên cứu infosec tiết lộ. Theo phát hiện, Nobelium vẫn đang nhắm mục tiêu vào các nhà cung cấp đám mây và MSP (Nhà cung cấp dịch vụ được quản lý) như một phương tiện để đạt được quyền truy cập ban đầu vào các mạng nội bộ của mục tiêu thực sự của họ. Các nhà nghiên cứu cũng lưu ý rằng cybergang đang tiếp tục tiết lộ các mối đe dọa phần mềm độc hại tùy chỉnh mới, lần này dưới dạng một trình tải xuống mới có tên là Ceeloader.

Phần mềm độc hại tùy chỉnh

Mối đe dọa được viết bằng C và có thể thực thi tải trọng shellcode trong bộ nhớ mà không cần ghi chúng ra đĩa. Để giao tiếp với máy chủ Command-and-Control (C2, C&C), mối đe dọa sử dụng HTTP, trong khi lưu lượng đến được mã hóa bằng AES-256 ở chế độ CBC. Ceeloader được triển khai cho các hệ thống bị xâm nhập thông qua một đèn hiệu Cobalt Strike và không thiết lập bất kỳ cơ chế bền bỉ nào của riêng nó. Nhiệm vụ chính của nó là tìm nạp và triển khai các tải trọng ở giai đoạn tiếp theo của cuộc tấn công.

Kỹ thuật né tránh

Để làm cho việc phát hiện khó hơn nhiều, Ceeloader là bị xáo trộn nặng nề. Các lệnh gọi mà nó thực hiện đối với Windows API bị xáo trộn giữa các đoạn mã rác lớn. Nobelium cũng sử dụng các phương pháp trốn tránh khác, chẳng hạn như địa chỉ IP dân cư làm proxy, VPS và VPN trước khi truy cập vào môi trường bị xâm phạm và hơn thế nữa. Trong một số trường hợp, các nhà nghiên cứu có thể xác định các trọng tải giai đoạn hai được đưa vào các máy chủ WordPress bị vi phạm. Trong các chiến dịch, các tin tặc dường như đã sử dụng các hệ thống hợp pháp được lưu trữ trên Microsoft Azure do địa chỉ IP của chúng gần với mạng bị xâm nhập.

Nhóm được quốc gia tài trợ

Nobelium là tên do Microsoft đặt cho kẻ đe dọa chịu trách nhiệm cho cuộc tấn công chuỗi cung ứng SolarWinds lớn. Nhóm APT tương tự cũng được theo dõi là APT29 , Cozy Bear và Dukes. Bằng chứng cho thấy nhóm này có quan hệ chặt chẽ với Nga hoặc hoàn toàn là một bộ phận tấn công của Cơ quan Tình báo nước ngoài của nước này.

Nobelium là một nhóm hack tiên tiến với các nguồn tài nguyên lớn có quyền truy cập vào nhiều công cụ và mối đe dọa phần mềm độc hại tùy chỉnh. Hoạt động của nó được nhắm mục tiêu vào các cơ quan Hoa Kỳ chủ yếu, với mục tiêu thu được thông tin nhạy cảm. Các hoạt động mới nhất của nhóm này theo mô hình này, với việc các tin tặc được quan sát để lấy cắp nhiều tài liệu từ nạn nhân của chúng được cho là chứa thông tin mà Nga đặc biệt quan tâm.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...