Ceeloader Malware

Nobelium APT (Advanced Persistent Threat) 組織繼續活躍在網絡間諜領域。這一次,信息安全研究人員揭露了黑客的活動。根據調查結果, Nobelium仍在瞄準雲提供商和 MSP(託管服務提供商),以此作為初始訪問其真正目標的內部網絡的手段。研究人員還指出,網絡團伙正在繼續揭示新的定制惡意軟件威脅,這次是以名為 Ceeloader 的新下載程序的形式出現的。

自定義惡意軟件

該威脅是用 C 編寫的,可以在內存中執行 shellcode 有效負載,而無需將它們寫入磁盤。為了與其命令和控制(C2、C&C)服務器通信,該威脅使用 HTTP,而傳入流量在 CBC 模式下使用 AES-256 進行加密。 Ceeloader 通過 Cobalt Strike信標部署到受感染的系統,並且沒有建立自己的任何持久性機制。它的主要任務是獲取和部署攻擊的下一階段有效載荷。

規避技巧

為了使檢測變得更加困難,Ceeloader 是嚴重混淆。它對 Windows API 的調用在大量垃圾代碼中混雜在一起。 Nobelium 還採用其他規避方法,例如在訪問受感染環境之前將住宅 IP 地址用作代理、VPS 和 VPN 等等。在某些情況下,研究人員能夠識別注入被破壞的 WordPress 服務器的第二階段有效載荷。在這些活動中,黑客顯然使用了合法的 Microsoft Azure 託管系統,因為他們的 IP 地址與受感染的網絡非常接近。

國家資助的團體

Nobelium 是 Microsoft 給應對大規模 SolarWinds 供應鏈攻擊負責的威脅參與者的名稱。同一個 APT 組也被跟踪為APT29 、Cozy Bear 和 Dukes。有證據表明,該組織要么與俄羅斯有密切聯繫,要么就是該國外國情報局的黑客部門。

Nobelium 是一個高級黑客組織,擁有大量資源,可以訪問多種定制的惡意軟件威脅和工具。其業務針對的是美國機構主要是為了獲取敏感信息。該組織的最新活動遵循這種模式,觀察到黑客從受害者那裡竊取了多份文件,這些文件被認為包含俄羅斯特別感興趣的信息。

熱門

最受關注

加載中...