Хакерская группа Nobelium продолжает взламывать правительственные и корпоративные сети по всему миру, нацеливаясь на своих поставщиков облачных и управляемых услуг и используя новую специальную вредоносную программу «Ceeloader».
Nobelium - это имя Microsoft в честь злоумышленника, стоящего за прошлогодней атакой цепочки поставок SolarWinds, которая привела к компрометации нескольких федеральных агентств США. Считается, что эта группа является хакерским подразделением Службы внешней разведки России (СВР), широко известным как APT29, The Dukes или Cozy Bear.
Хотя Nobelium - это продвинутая хакерская группа, использующая специальные вредоносные программы и инструменты , они по-прежнему оставляют следы деятельности, которые исследователи могут использовать для анализа своих атак.
В новом отчете Mandiant исследователи использовали эту деятельность, чтобы раскрыть тактику, приемы и процедуры (TTP), используемые хакерской группой, а также новый пользовательский загрузчик под названием «Ceeloader».
Кроме того, исследователи разбили Nobelium на две отдельные группы действий, приписываемых UNC3004 и UNC2652, что может означать, что Nobelium - это две взаимодействующие хакерские группы.
Атака на цепочку поставок
Судя по активности, наблюдаемой Mandiant, участники Nobelium продолжают взламывать облачных провайдеров и MSP , чтобы получить первоначальный доступ к сетевой среде своих клиентов."По крайней мере в одном случае злоумышленник идентифицировал и скомпрометировал локальную учетную запись VPN и использовал эту учетную запись VPN для выполнения разведки и получения дополнительного доступа к внутренним ресурсам в среде CSP жертвы, что в конечном итоге привело к компрометации учетных записей внутреннего домена. , "объяснил Mandiant.
По крайней мере, в одном другом взломе хакерская группа использовала вредоносное ПО для кражи паролей CRYPTBOT, чтобы украсть действительные токены сеанса, используемые для аутентификации в среде Microsoft 365 жертвы.
Примечательно, что Nobelium компрометирует несколько учетных записей в одной среде, используя каждую из них для отдельных функций, таким образом не рискуя всей операцией в случае раскрытия информации.
«Злоумышленники использовали скомпрометированные привилегированные учетные записи и использовали SMB, удаленный WMI, удаленную регистрацию запланированных задач и PowerShell для выполнения команд в среде жертв». - Мандиант
«Злоумышленник использовал протоколы в основном для выполнения разведки, распространения маяков (Cobalt Strike) по сети, а также для запуска собственных команд Windows для сбора учетных данных».
Новое кастомное вредоносное ПО "Ceeloader"
Nobelium известен своей разработкой и использованием нестандартных вредоносных программ, которые обеспечивают доступ к сетям через черный ход, загрузку дополнительных вредоносных программ, отслеживание сети, кражу учетных данных NTLM и другие виды злонамеренного поведения.Mandiant обнаружил новый пользовательский загрузчик под названием «Ceeloader», написанный на C и поддерживающий выполнение полезных нагрузок шеллкода непосредственно в памяти.
Вредоносная программа сильно запутана и смешивает вызовы Windows API с большими блоками нежелательного кода, чтобы избежать обнаружения программным обеспечением безопасности.
Ceeloader обменивается данными через HTTP, а ответ C2 расшифровывается с помощью AES-256 в режиме CBC.
Пользовательский загрузчик Ceeloader устанавливается и запускается маяком Cobalt Strike по мере необходимости и не включает постоянство, позволяющее ему автоматически запускаться при запуске Windows.
В прошлом компания Nobelium использовала множество нестандартных вредоносных программ, особенно во время атак Solarwinds и фишинговых атак на Агентство международного развития США (USAID).
Множественные уловки сокрытия
Чтобы препятствовать попыткам отслеживания атак, Nobelium использует резидентные IP-адреса (прокси), TOR, VPS (виртуальные частные службы) и VPN (виртуальные частные сети) для доступа к среде жертвы.В некоторых случаях Mandiant выявлял взломанные сайты WordPress, на которых размещались полезные данные второго уровня, которые загружаются и запускаются в память с помощью Ceeloader.
Наконец, субъекты использовали легитимные системы, размещенные в Microsoft Azure, с IP-адресами, находившимися близко к сети жертвы.
Такой подход помогает сочетать внешнюю активность и внутренний трафик, делая маловероятным обнаружение вредоносной активности и затрудняя анализ.
Нобелиум все еще активен
Mandiant предупреждает, что деятельность Nobelium в значительной степени сосредоточена на сборе разведывательной информации , поскольку исследователи видели доказательства того, что хакеры вывозят документы, представляющие политический интерес для России.Microsoft ранее связала UNC2652 и UNC3004 с UNC2452, группой, ответственной за атаку цепочки поставок SolarWinds , так что вполне вероятно, что все они находятся под одной крышей «Nobelium».
Тем не менее, Mandiant подчеркивает, что нет достаточных доказательств, чтобы с высокой степенью уверенности приписать это.
Для защитников важно то, что хакеры по-прежнему используют третьих лиц и доверенных поставщиков, таких как CSP, для проникновения в ценные целевые сети, поэтому организации должны сохранять бдительность, постоянно рассматривать новые IOC и поддерживать свои системы в актуальном состоянии.
Mandiant обновил технический документ UNC2452 на этом фронте, включив в него все новые ТТП, наблюдаемые в кампаниях 2021 года.
Перевод - Google
Bleeping Computer
