Ceeloader Malware

Nobelium APT（Advanced Persistent Threat）グループは、サイバースパイの状況で引き続き活動しています。今回、ハッカーの活動はinfosecの研究者によって明らかにされました。調査結果によると、 Nobeliumは、真のターゲットの内部ネットワークへの初期アクセスを取得する手段として、クラウドプロバイダーとMSP（マネージドサービスプロバイダー）を引き続きターゲットにしています。研究者たちはまた、サイバーギャングが新しいカスタムメイドのマルウェアの脅威を明らかにし続けていることにも注目しています。今回は、Ceeloaderという名前の新しいダウンローダーの形で。

カスタムマルウェア

脅威はCで記述されており、ディスクに書き込むことなく、メモリ内でシェルコードペイロードを実行できます。 Command-and-Control（C2、C＆C）サーバーと通信するために、脅威はHTTPを使用しますが、着信トラフィックはCBCモードのAES-256で暗号化されます。 Ceeloaderは、Cobalt Strikeビーコンを介して侵害されたシステムに展開され、独自の永続化メカニズムを確立しません。その主なタスクは、攻撃の次の段階のペイロードをフェッチして展開することです。

回避テクニック

検出をさらに難しくするために、Ceeloaderはひどく難読化されました。 Windows APIへの呼び出しは、大量のジャンクコード間でスクランブルされます。 Nobeliumは、プロキシとしての住宅用IPアドレス、侵害された環境にアクセスする前のVPSやVPNなど、他の回避方法も採用しています。場合によっては、研究者は、侵害されたWordPressサーバーに注入された第2段階のペイロードを特定することができました。キャンペーンでは、ハッカーのIPアドレスが侵害されたネットワークに近接しているため、ハッカーは正規のMicrosoftAzureがホストするシステムを使用したようです。

国が後援するグループ

ノーベリウムは、大規模なSolarWindsサプライチェーン攻撃の原因となった脅威アクターにMicrosoftが付けた名前です。同じAPTグループは、 APT29 、Cozy Bear、およびDukesとしても追跡されます。証拠は、グループがロシアと強い関係を持っているか、国の対外情報局のハッキング部門であることを示唆しています。

Nobeliumは、複数のカスタムメイドのマルウェアの脅威とツールにアクセスできる、かなりのリソースを備えた高度なハッキンググループです。その事業は米国の代理店を対象としています主に、機密情報を取得することを目的としています。グループの最新の活動はこのパターンに従っており、ハッカーはロシアにとって特に興味深い情報が含まれていると思われる被害者から複数の文書を盗み出すことが観察されています。