У APT-группы Nobelium появился кастомный Windows-загрузчик — Ceeloader

У APT-группы Nobelium появился кастомный Windows-загрузчик — Ceeloader

У APT-группы Nobelium появился кастомный Windows-загрузчик — Ceeloader

Наблюдатели из Mandiant обнаружили новый кастомный инструмент в арсенале APT29 (в Microsoft эту APT-группу называют Nobelium). Загрузчик Ceeloader избирательно устанавливается на Windows-машины после проникновения в сеть и обеспечивает скрытное исполнение вредоносного шелл-кода.

Кибергруппировка Nobelium, она же APT29, The Dukes и Cozy Bear, известна прежде всего громкой атакой на SolarWinds, затронувшей множество организаций по всему миру. За рубежом этим хорошо обеспеченным хакерам склонны приписывать российские корни.

Целью атак APT-группы является шпионаж; ее интересуют секреты правительственных учреждений, военных организаций, НКО, НИИ, ИТ-компаний, телеком-провайдеров. В своих вылазках Nobelium часто использует легитимные инструменты Windows, но всегда делает ставку на собственные разработки. Так, в атаке на SolarWinds засветился целый ряд новых кастомных зловредов — бэкдор Sunburst, обеспечивающий его установку Sunspot, бэкдоры GoldMax, Sibot и GoldFinder.

Теперь этот арсенал, по данным Mandiant, пополнился специализированным загрузчиком. Написанный на C вредонос Ceeloader примечателен тем, что поддерживает исполнение шелл-кода в памяти.

Код самого зловреда сильно обфусцирован: он щедро замусорен и часто без цели вызывает Windows API. Нужные вызовы при этом скрываются с помощью функции-обертки, которая расшифровывает имя API и динамически разрешает его перед вызовом.

Для коммуникаций Ceeloader использует HTTP, а ответы с C2-сервера расшифровывает, используя AES-256 в режиме CBC. Запрос HTTP содержит статически определенный ID (в сэмплах может варьироваться).

Установку Ceeloader осуществляет развернутый в сети Cobalt Strike Beacon; в зараженной системе создается плановое задание на запуск при каждом входе уровня SYSTEM. Специального механизма для обеспечения постоянного присутствия в системе у нового загрузчика нет. Целевую полезную нагрузку он скачивает из внешнего источника — эксперты выявили два таких WordPress-сайта, по всей видимости, скомпрометированных.

GitHub, Apple и Google вернулись в Россию после часового сбоя

Сайты GitHub, Apple и Google снова открываются у пользователей в России. Сервисы были недоступны около часа, после чего соединение восстановилось без каких-либо официальных объяснений.

Проблемы начались примерно в 10:00 по московскому времени. GitHub не открывался с российских IP-адресов, не работал доступ к репозиториям и могли возникать сбои при выполнении Git-операций. При подключении через иностранные IP платформа продолжала работать штатно.

Перебои подтверждал сервис Detector404, отслеживающий пользовательские жалобы. Одновременно возникли трудности с доступом к официальным сайтам Apple и Google: страницы либо зависали на бесконечной загрузке, либо выдавали ошибку. Соединение устанавливалось с переменным успехом.

Теперь все три ресурса снова доступны. Таким образом, глобальные сервисы исчезли из российского сегмента интернета примерно на час, а затем так же внезапно вернулись.

 

Причина произошедшего остается неизвестной. GitHub, Apple и Google публично ситуацию не комментировали. Роскомнадзор также пока не сообщил, были ли перебои связаны с техническим сбоем, маршрутизацией или ограничениями доступа.

RSS: Новости на портале Anti-Malware.ru