SolarWinds幕后攻击者再次发起攻击行动

12月6日，Mandiant披露了SolarWinds供应链攻击背后黑客团伙的新活动。微软将该组织命名为“Nobelium”，又称APT29和Cozy Bear，属于俄罗斯外国情报局 (SVR)。据称Nobelium近来一直在攻击云供应商和MSP，以获得其下游客户的访问权限。正在以新颖的策略和新型恶意软件危害全球商业和政府目标，窃取数据并在网络中横向移动。在近期的攻击活动中，该团伙使用了一个新的自定义下载器Ceeloader。该恶意软件用C语言编写，可以在内存中执行shell，通过HTTP通信，C2响应使用AES-256的CBC模式加密。