Οι Hackers του Nobelium APT παρουσιάζουν το κακόβουλο λογισμικό Ceeloader

Ο ηθοποιός του Nobelium Advanced Persistent Threat (APT) επιστρέφει με ένα νέο κομμάτι κακόβουλου λογισμικού που ονομάζεται Ceeloader. Οι εγκληματίες που είχαν κύριο ρόλο στην επίθεση της SolarWinds είναι μια από τις πιο γνωστές ομάδες εγκλήματος στον κυβερνοχώρο που βγήκαν από τη Ρωσία. Μερικά από τα εναλλακτικά τους ονόματα είναι Cozy Bear, APT29 και The Dukes.

Δεν αποτελεί έκπληξη ότι ένας προηγμένος παράγοντας απειλών όπως αυτός δεν βασίζεται σε πολλά δημόσια έργα. Αντίθετα, τα περισσότερα από τα ωφέλιμα φορτία τους αποτελούνται από κακόβουλο λογισμικό που δεν έχει ξαναδεί ποτέ, προσαρμοσμένο. Το Ceeloader είναι το τελευταίο παράδειγμα αυτού. Όπως υποδηλώνει το όνομά του, αυτός είναι ένας Trojan Loader του οποίου ο σκοπός είναι να διασφαλίσει ότι τα δευτερεύοντα ωφέλιμα φορτία εκτελούνται άψογα σε παραβιασμένα συστήματα. Αυτό το κακόβουλο λογισμικό είναι γραμμένο στη γλώσσα προγραμματισμού C και το κύριο χαρακτηριστικό του είναι η δυνατότητα φόρτωσης ωφέλιμων φορτίων στη μνήμη. Αυτό το τέχνασμα, γνωστό και ως εκτέλεση χωρίς αρχείο, μειώνει σημαντικά το αποτύπωμα που αφήνει πίσω η δραστηριότητα κακόβουλου λογισμικού. Χάρη στο κακόβουλο λογισμικό Ceeloader, οι χάκερ του Nobelium μπορούσαν να ελαχιστοποιήσουν τις πιθανότητες να ανακαλυφθούν και να αναλυθούν τα ωφέλιμα φορτία τους από ερευνητές στον τομέα της ασφάλειας στον κυβερνοχώρο.

Είναι σημαντικό να προσθέσουμε ότι οι χάκερ του Nobelium APT τείνουν να κυνηγούν στόχους υψηλού προφίλ και οι επιθέσεις τους σίγουρα δεν αποτελούν μεγάλη ανησυχία για τους τακτικούς χρήστες. Ένα από τα αξιοσημείωτα πρόσφατα θύματά τους ήταν η Υπηρεσία Διεθνούς Ανάπτυξης των Ηνωμένων Πολιτειών.

Το Ceeloader παραδίδει άλλα ωφέλιμα φορτία Cozy Bear

Εκτός από τη δυνατότητα εκτέλεσης χωρίς αρχείο, το κακόβουλο λογισμικό Ceeloader χρησιμοποιεί επίσης ένα περίεργο τέχνασμα για την ανάκτηση ωφέλιμων φορτίων. Φαίνεται ότι οι χάκερ του Nobelium χρησιμοποιούν ένα δίκτυο από παραβιασμένους ιστότοπους WordPress για να φιλοξενήσουν τα ωφέλιμα φορτία τους. Αυτό πιθανώς προορίζεται να βοηθήσει στην αποφυγή μέτρων ασφαλείας που συνήθως φιλτράρουν τις συνδέσεις σε τυχαίους, μη αξιόπιστους ιστότοπους. Επιπλέον, καθιστά πιο δύσκολο για τους ερευνητές ασφαλείας να διακρίνουν την κακόβουλη κίνηση από τη συνηθισμένη. Το κακόβουλο λογισμικό Ceeloader είναι πιθανό να χρησιμοποιηθεί σε συνδυασμό με άλλα προσαρμοσμένα ωφέλιμα φορτία Nobelium - όπως το Tomiris Backdoor Trojan . Το εύρος αυτής της εκστρατείας δεν είναι ακόμη σαφές.

December 8, 2021