Ceeloader Malware
Il gruppo Nobelium APT (Advanced Persistent Threat) continua ad essere attivo nel panorama del cyber-spionaggio. Questa volta le attività degli hacker sono state rivelate dai ricercatori di infosec. Secondo i risultati, Nobelium sta ancora prendendo di mira i provider cloud e gli MSP (Managed Service Provider) come mezzo per ottenere l'accesso iniziale alle reti interne dei loro veri obiettivi. I ricercatori notano anche che la cybergang sta continuando a rivelare nuove minacce malware personalizzate, questa volta sotto forma di un nuovo downloader chiamato Ceeloader.
Sommario
Malware personalizzato
La minaccia è scritta in C e può eseguire payload shellcode in memoria senza la necessità di scriverli su disco. Per comunicare con il suo server Command-and-Control (C2, C&C), la minaccia utilizza HTTP, mentre il traffico in entrata viene crittografato con AES-256 in modalità CBC. Ceeloader viene distribuito ai sistemi compromessi tramite un beacon Cobalt Strike e non stabilisce alcun meccanismo di persistenza proprio. Il suo compito principale è quello di recuperare e distribuire i payload della fase successiva dell'attacco.
Tecniche di evasione
Per rendere il rilevamento molto più difficile, Ceeloader èoffuscato pesantemente. Le chiamate effettuate all'API di Windows vengono confuse tra grandi blocchi di codice spazzatura. Nobelium impiega anche altri metodi di elusione, come indirizzi IP residenziali come proxy, VPS e VPN prima di accedere all'ambiente compromesso e altro ancora. In alcuni casi, i ricercatori sono stati in grado di identificare i payload di seconda fase iniettati nei server WordPress violati. Nelle campagne, gli hacker hanno apparentemente utilizzato sistemi legittimi ospitati da Microsoft Azure, a causa del fatto che i loro indirizzi IP erano molto vicini alla rete compromessa.
Gruppo sponsorizzato dalla nazione
Nobelium è il nome dato da Microsoft all'attore responsabile del massiccio attacco alla catena di fornitura di SolarWinds. Lo stesso gruppo APT è anche tracciato come APT29, Cozy Bear and the Dukes. Le prove suggeriscono che il gruppo ha forti legami con la Russia o è una divisione di hacker del servizio di intelligence estero del paese.
Nobelium è un gruppo di hacking avanzato con risorse considerevoli che ha accesso a più minacce e strumenti malware personalizzati. Le sue operazioni sono rivolte alle agenzie statunitensiprevalentemente, con l'obiettivo di acquisire informazioni sensibili. Le ultime attività del gruppo seguono questo schema, con gli hacker osservati mentre esfiltrano più documenti dalle loro vittime che si ritiene contengano informazioni di particolare interesse per la Russia.
