Oroszországhoz kötött kampány
A Mandiant új jelentésében egy Oroszországhoz kötött fenyegetési szereplőt azonosított, új eszközökkel. A Nobelium APT-nek tulajdonított tevékenységet két elkülönült szervezetre osztják az UNC3004-re és a UNC2652-re, amelyek együttműködnek. A csoport más fenyegetéselemzők APT29, The Dukes vagy Cozy Bear néven azonosítják és a SolarWinds támadójának tartják.
A Nobelium egyedi kártevők fejlesztéséről és használatáról ismert, amelyek lehetővé teszik a hálózatokhoz való hozzáférést, akár backdoor segítségével, esetleg egyéb kártevők letöltését, a Windows hitelesítő adatok ellopását és más rosszindulatú viselkedést.
A Mandiant azonosított egy új Ceeloader letöltőt, amelyet C nyelven írtak és meglehetősen opszflukált a Windows API-ban. Erősen titkosított AES-256 kóddal és a kommunikácója is egyedi, azonban a Cobalt Strike-ot használja a letöltés után. A támadás egyik jellemzője, hogy a kapcsolódó IP cím tartomány lakossági, amit a TOR hálózattal és VPN-el rejtenek el.
