Ceeloader Malware
Nobelium APT-gruppen (Advanced Persistent Threat) fortsätter att vara aktiv i cyberspionagelandskapet. Den här gången avslöjades hackarnas aktiviteter av infosec-forskare. Enligt resultaten riktar sig Nobelium fortfarande mot molnleverantörer och MSP (Managed Service Providers) som ett sätt att få initial tillgång till de interna nätverken för deras verkliga mål. Forskarna noterar också att cybergänget fortsätter att avslöja nya skräddarsydda hot mot skadlig programvara, denna gång i form av en ny nedladdare som heter Ceeloader.
Innehållsförteckning
Anpassad skadlig programvara
Hotet är skrivet i C och kan exekvera shellcode-nyttolaster i minnet utan att behöva skriva dem på skiva. För att kommunicera med sin Command-and-Control-server (C2, C&C) använder hotet HTTP, medan den inkommande trafiken krypteras med AES-256 i CBC-läge. Ceeloader distribueras till de komprometterade systemen via en Cobalt Strike- fyr och etablerar ingen egen uthållighetsmekanism. Dess huvudsakliga uppgift är att hämta och distribuera nyttolasten i nästa steg av attacken.
Undvikande tekniker
För att göra upptäckten så mycket svårare är Ceeloaderfördunklas kraftigt. Anropen den gör till Windows API är förvrängd bland stora bitar av skräpkod. Nobelium använder också andra metoder för undanflykt, såsom IP-adresser för bostäder som proxyservrar, VPS och VPN innan de kommer åt den komprometterade miljön och mer. I vissa fall kunde forskare identifiera andra stegs nyttolaster som injicerades i intrångade WordPress-servrar. I kampanjerna använde hackarna uppenbarligen legitima Microsoft Azure-värdade system, uppenbarligen på grund av att deras IP-adresser låg i närheten av det komprometterade nätverket.
Nationssponsrad grupp
Nobelium är namnet som Microsoft gett till hotaktören som är ansvarig för den massiva SolarWinds supply-chain-attacken. Samma APT-grupp spåras också som APT29, Cozy Bear and the Dukes. Bevis tyder på att gruppen antingen har starka band till Ryssland eller direkt är en hackningsavdelning av landets utrikesunderrättelsetjänst.
Nobelium är en avancerad hackergrupp med stora resurser som har tillgång till flera skräddarsydda hot och verktyg för skadlig programvara. Dess verksamhet är inriktad på amerikanska byråerfrämst med målet att skaffa känslig information. Gruppens senaste aktiviteter följer detta mönster, där hackarna har observerats exfiltrera flera dokument från sina offer som tros innehålla information av särskilt intresse för Ryssland.
