„Nobelium APT“ įsilaužėliai pristato „Ceeloader“ kenkėjišką programą

„Nobelium Advanced Persistent Threat“ (APT) aktorius grįžta su nauja kenkėjiška programa, pavadinta „Ceeloader“. Nusikaltėliai, suvaidinę pagrindinį vaidmenį „ SolarWinds“ atakoje, yra viena žinomiausių kibernetinių nusikaltimų grupių, išėjusių iš Rusijos. Kai kurie jų alternatyvūs pavadinimai yra Cozy Bear, APT29 ir The Dukes.

Nenuostabu, kad toks pažengęs grėsmės veikėjas kaip šis nepasikliauja daugybe viešųjų projektų. Vietoj to, daugumą jų naudingųjų apkrovų sudaro niekada anksčiau nematytos, specialiai sukurtos kenkėjiškos programos. „Ceeloader“ yra naujausias to pavyzdys. Kaip rodo jo pavadinimas, tai yra Trojan Loader, kurio tikslas yra užtikrinti, kad antriniai naudingieji kroviniai būtų vykdomi nepriekaištingai pažeistose sistemose. Ši kenkėjiška programa yra parašyta C programavimo kalba, o pagrindinė jos savybė yra galimybė įkelti naudingus krovinius į atmintį. Šis triukas, dar žinomas kaip vykdymas be failų, labai sumažina kenkėjiškų programų poveikį. „Ceeloader“ kenkėjiškos programinės įrangos dėka „Nobelium“ įsilaužėliai galėjo sumažinti tikimybę, kad kibernetinio saugumo tyrinėtojai aptiks ir išskaidys jų krovinius.

Svarbu pridurti, kad „Nobelium APT“ įsilaužėliai yra linkę ieškoti aukšto lygio taikinių, o jų atakos paprastiems vartotojams tikrai nekelia didelio rūpesčio. Viena iš žymių pastarojo meto aukų buvo Jungtinių Valstijų tarptautinės plėtros agentūra.

Ceeloader pristato kitus jaukius lokio krovinius

Be failų vykdymo funkcijos, „Ceeloader“ kenkėjiška programa taip pat naudoja savotišką triuką naudingiesiems kroviniams gauti. Atrodo, kad „Nobelium“ įsilaužėliai naudoja pažeistų „WordPress“ svetainių tinklą, kad priglobtų savo naudingąsias apkrovas. Tikriausiai taip siekiama padėti išvengti saugumo priemonių, kurios paprastai filtruoja ryšius su atsitiktinėmis, nekokybiškomis svetainėmis. Be to, saugumo tyrinėtojams tampa sunkiau atskirti kenkėjišką srautą nuo įprasto. Tikėtina, kad „Ceeloader“ kenkėjiška programa bus naudojama kartu su kitais specialiai sukurtais „Nobelium“ kroviniais, tokiais kaip „ Tomiris Backdoor Trojos arklys“ . Šios kampanijos apimtis dar nėra aiški.

December 8, 2021