Ceeloader Malware

Nobelium APT (Advanced Persistent Threat) 组织继续活跃在网络间谍领域。这一次，信息安全研究人员揭露了黑客的活动。根据调查结果， Nobelium仍在瞄准云提供商和 MSP（托管服务提供商），以此作为初始访问其真正目标的内部网络的手段。研究人员还指出，网络团伙正在继续揭示新的定制恶意软件威胁，这次是以名为 Ceeloader 的新下载程序的形式出现的。

自定义恶意软件

该威胁是用 C 编写的，可以在内存中执行 shellcode 有效负载，而无需将它们写入磁盘。为了与其命令和控制（C2、C&C）服务器通信，该威胁使用 HTTP，而传入流量在 CBC 模式下使用 AES-256 进行加密。 Ceeloader 通过 Cobalt Strike信标部署到受感染的系统，并且没有建立自己的任何持久性机制。它的主要任务是获取和部署攻击的下一阶段有效载荷。

规避技巧

为了使检测变得更加困难，Ceeloader 是严重混淆。它对 Windows API 的调用在大量垃圾代码中混杂在一起。 Nobelium 还采用其他规避方法，例如在访问受感染环境之前将住宅 IP 地址用作代理、VPS 和 VPN 等等。在某些情况下，研究人员能够识别注入被破坏的 WordPress 服务器的第二阶段有效载荷。在这些活动中，黑客显然使用了合法的 Microsoft Azure 托管系统，因为他们的 IP 地址与受感染的网络非常接近。

国家赞助的团体

Nobelium 是 Microsoft 给应对大规模 SolarWinds 供应链攻击负责的威胁参与者的名称。同一个 APT 组也被跟踪为APT29 、Cozy Bear 和 Dukes。有证据表明，该组织要么与俄罗斯有密切联系，要么就是该国外国情报局的黑客部门。

Nobelium 是一个高级黑客组织，拥有大量资源，可以访问多种定制的恶意软件威胁和工具。其业务针对的是美国机构主要是为了获取敏感信息。该组织的最新活动遵循这种模式，观察到黑客从受害者那里窃取了多份文件，这些文件被认为包含俄罗斯特别感兴趣的信息。