Ceeloader Malware

O grupo Nobelium APT (Ameaça Persistente Avançada) continua ativo no cenário da ciber-espionagem. Desta vez, as atividades dos hackers foram reveladas pelos pesquisadores de infosec. De acordo com as descobertas, o Nobelium ainda tem como alvo os provedores da Nuvem e MSP (Provedores de Serviços Gerenciados) como um meio de obter acesso inicial às redes internas de seus verdadeiros alvos. Os pesquisadores também observaram que a cybergang continua revelando novas ameaças de malware personalizadas, desta vez na forma de um novo downloader chamado Ceeloader.

Malware Personalizado

A ameaça é escrita em C e pode executar cargas úteis de código de shell na memória sem a necessidade de gravá-las no disco. Para se comunicar com seu servidor de Comando e Controle (C2, C&C), a ameaça usa HTTP, enquanto o tráfego de entrada é criptografado com AES-256 no modo CBC. O Ceeloader é implantado nos sistemas comprometidos por meio de um beacon do Cobalt Strike e não estabelece nenhum mecanismo de persistência próprio. Sua principal tarefa é buscar e implantar as cargas úteis do próximo estágio do ataque.

Técnicas de Evasão

Para tornar a detecção muito mais difícil, o Ceeloader é ofuscado fortemente. As chamadas que ele faz para a API do Windows são misturadas entre grandes pedaços de código inútil. O Nobelium também emprega outros métodos de evasão, tais como endereços IP residenciais como proxies, VPS e VPN antes de acessar o ambiente comprometido e muito mais. Em alguns casos, os pesquisadores foram capazes de identificar cargas úteis de segundo estágio injetadas em servidores do WordPress violados. Nas campanhas, os hackers usaram sistemas legítimos hospedados no Microsoft Azure, aparentemente, devido ao fato de seus endereços IP estarem próximos da rede comprometida.

Grupo Patrocinado pela Nação

Nobelium é o nome dado pela Microsoft ao ator responsável pelo ataque massivo à cadeia de suprimentos da SolarWinds. O mesmo grupo APT também é rastreado como APT29, Cozy Bear and os Dukes. As evidências sugerem que o grupo tem fortes laços com a Rússia ou é uma divisão de hackers do Serviço de Inteligência Estrangeira do país.

O Nobelium é um grupo de hackers avançado com recursos consideráveis que tem acesso a várias ameaças e ferramentas de malware personalizadas. Suas operações são direcionadas a agências dos EUA predominantemente, com o objetivo de adquirir informações sensíveis. As atividades mais recentes do grupo seguem esse padrão, com os hackers sendo observados exfiltrando vários documentos de suas vítimas que se acredita conterem informações de particular interesse para a Rússia.

Tendendo

Mais visto

Carregando...