Les pirates informatiques Nobelium APT présentent le logiciel malveillant Ceeloader

L'acteur Nobelium Advanced Persistent Threat (APT) est de retour avec un nouveau malware appelé Ceeloader. Les criminels qui ont joué un rôle principal dans l' attaque de SolarWinds sont l'un des groupes de cybercriminalité les plus renommés de Russie. Certains de leurs noms alternatifs sont Cozy Bear, APT29 et The Dukes.

Sans surprise, un acteur de menace avancé comme celui-ci ne s'appuie pas sur de nombreux projets publics. Au lieu de cela, la plupart de leurs charges utiles se composent de logiciels malveillants jamais vus et personnalisés. Le Ceeloader en est le dernier exemple. Comme son nom l'indique, il s'agit d'un cheval de Troie Loader dont le but est de garantir que les charges utiles secondaires sont exécutées sans problème sur les systèmes compromis. Ce malware est écrit dans le langage de programmation C, et sa principale caractéristique est la possibilité de charger des charges utiles en mémoire. Cette astuce, également connue sous le nom d'exécution sans fichier, réduit considérablement l'empreinte laissée par l'activité des logiciels malveillants. Grâce au Ceeloader Malware, les pirates de Nobelium ont pu minimiser les chances que leurs charges utiles soient découvertes et disséquées par les chercheurs en cybersécurité.

Il est important d'ajouter que les pirates informatiques Nobelium APT ont tendance à s'attaquer à des cibles de premier plan, et leurs attaques ne sont certainement pas une préoccupation majeure pour les utilisateurs réguliers. L'une de leurs récentes victimes notables est l'Agence des États-Unis pour le développement international.

Ceeloader livre d'autres charges utiles Cozy Bear

Outre la fonction d'exécution sans fichier, le logiciel malveillant Ceeloader utilise également une astuce particulière pour récupérer les charges utiles. Il semble que les pirates de Nobelium utilisent un réseau de sites Web WordPress compromis pour héberger leurs charges utiles. Ceci est probablement destiné à éviter les mesures de sécurité qui filtreraient généralement les connexions à des sites aléatoires et non réputés. De plus, il est plus difficile pour les chercheurs en sécurité de distinguer le trafic malveillant du trafic habituel. Le logiciel malveillant Ceeloader est susceptible d'être utilisé en combinaison avec d'autres charges utiles Nobelium personnalisées, telles que le cheval de Troie Tomiris Backdoor . La portée de cette campagne n'est pas encore claire.

December 8, 2021