У APT-группы Nobelium появился кастомный Windows-загрузчик — Ceeloader

У APT-группы Nobelium появился кастомный Windows-загрузчик — Ceeloader

У APT-группы Nobelium появился кастомный Windows-загрузчик — Ceeloader

Наблюдатели из Mandiant обнаружили новый кастомный инструмент в арсенале APT29 (в Microsoft эту APT-группу называют Nobelium). Загрузчик Ceeloader избирательно устанавливается на Windows-машины после проникновения в сеть и обеспечивает скрытное исполнение вредоносного шелл-кода.

Кибергруппировка Nobelium, она же APT29, The Dukes и Cozy Bear, известна прежде всего громкой атакой на SolarWinds, затронувшей множество организаций по всему миру. За рубежом этим хорошо обеспеченным хакерам склонны приписывать российские корни.

Целью атак APT-группы является шпионаж; ее интересуют секреты правительственных учреждений, военных организаций, НКО, НИИ, ИТ-компаний, телеком-провайдеров. В своих вылазках Nobelium часто использует легитимные инструменты Windows, но всегда делает ставку на собственные разработки. Так, в атаке на SolarWinds засветился целый ряд новых кастомных зловредов — бэкдор Sunburst, обеспечивающий его установку Sunspot, бэкдоры GoldMax, Sibot и GoldFinder.

Теперь этот арсенал, по данным Mandiant, пополнился специализированным загрузчиком. Написанный на C вредонос Ceeloader примечателен тем, что поддерживает исполнение шелл-кода в памяти.

Код самого зловреда сильно обфусцирован: он щедро замусорен и часто без цели вызывает Windows API. Нужные вызовы при этом скрываются с помощью функции-обертки, которая расшифровывает имя API и динамически разрешает его перед вызовом.

Для коммуникаций Ceeloader использует HTTP, а ответы с C2-сервера расшифровывает, используя AES-256 в режиме CBC. Запрос HTTP содержит статически определенный ID (в сэмплах может варьироваться).

Установку Ceeloader осуществляет развернутый в сети Cobalt Strike Beacon; в зараженной системе создается плановое задание на запуск при каждом входе уровня SYSTEM. Специального механизма для обеспечения постоянного присутствия в системе у нового загрузчика нет. Целевую полезную нагрузку он скачивает из внешнего источника — эксперты выявили два таких WordPress-сайта, по всей видимости, скомпрометированных.

Дуров купил t.you после блокировки t.me из-за санкций США

Павел Дуров решил подстраховаться после недавней блокировки домена t.me и купил для Telegram ещё один короткий адрес — t.you. У регистратора домен уже помечен как занятый, хотя в WHOIS информация о новом владельце пока не появилась.

«Я только что купил t.you в дополнение к t.me, так что теперь это становится общей проблемой», — написал основатель мессенджера 15 июля.

Покупка случилась после довольно абсурдной истории с t.me. 13 июля Минфин США внёс First VPN Service в санкционный список и указал среди связанной инфраструктуры телеграм-канал на домене t.me.

Реестр Domain.ME, управляющий зоной .me, отреагировал широко: вместо блокировки одной ссылки он отправил в serverHold весь домен t.me. В результате короткие ссылки Telegram перестали открываться по всему миру.

В Domain.ME объяснили, что обязаны соблюдать санкционные требования. По версии реестра, Telegram подтвердил удаление ссылок и разрыв связей с 1VPNS, после чего блокировку сняли.

Пока домен лежал, Telegram срочно переключал ссылки на telegram.me и даже telegram.dog. Через несколько часов t.me вернули в DNS, но инцидент показал, насколько один короткий домен зависит от решения внешнего реестра.

Теперь у Telegram появился запасной вариант — t.you. Судя по реакции Дурова, второй раз отдавать всю систему коротких ссылок на волю одного оператора он не собирается.

RSS: Новости на портале Anti-Malware.ru