Nobelium APT Hackere introducerer Ceeloader Malware

Nobelium Advanced Persistent Threat (APT)-skuespilleren er tilbage med et nyt stykke malware kaldet Ceeloader. De kriminelle, der havde en hovedrolle i SolarWinds-angrebet, er en af de mest kendte cyberkriminalitetsgrupper, der er kommet ud af Rusland. Nogle af deres alternative navne er Cozy Bear, APT29 og The Dukes.

Ikke overraskende er en avanceret trusselsaktør som denne ikke afhængig af mange offentlige projekter. I stedet består de fleste af deres nyttelast af aldrig før set, specialbygget malware. Ceeloaderen er det seneste eksempel på dette. Som navnet antyder, er dette en Trojan Loader, hvis formål er at sikre, at sekundære nyttelaster udføres fejlfrit på kompromitterede systemer. Denne malware er skrevet i programmeringssproget C, og dens primære funktion er evnen til at indlæse nyttelast i hukommelsen. Dette trick, også kendt som filløs udførelse, reducerer i høj grad det fodaftryk, som malware-aktivitet efterlader. Takket være Ceeloader Malware kunne Nobelium-hackere minimere chancerne for, at deres nyttelast bliver opdaget og dissekeret af cybersikkerhedsforskere.

Det er vigtigt at tilføje, at Nobelium APT-hackere har en tendens til at gå efter højprofilerede mål, og deres angreb er bestemt ikke en stor bekymring for almindelige brugere. Et af deres bemærkelsesværdige nylige ofre har været United States Agency for International Development.

Ceeloader leverer andre hyggelige bjørnelaster

Bortset fra den filløse eksekveringsfunktion, bruger Ceeloader Malware også et ejendommeligt trick til at hente nyttelast. Det ser ud til, at Nobelium-hackere bruger et netværk af kompromitterede WordPress-websteder til at hoste deres nyttelast. Dette er sandsynligvis beregnet til at hjælpe med at undgå sikkerhedsforanstaltninger, der normalt vil filtrere forbindelser til tilfældige, ikke-renommerede websteder. Desuden gør det det sværere for sikkerhedsforskere at skelne den ondsindede trafik fra den sædvanlige. Ceeloader Malware vil sandsynligvis blive brugt i kombination med andre specialbyggede Nobelium-nyttelaster - såsom Tomiris Backdoor Trojan . Omfanget af denne kampagne er endnu ikke klart.

December 8, 2021