A Nobelium APT hackerei bemutatják a Ceeloader kártevőt

A Nobelium Advanced Persistent Threat (APT) színésze visszatért egy új, Ceeloader nevű kártevővel. A SolarWinds támadásban főszerepet játszó bűnözők az egyik legismertebb kiberbűnözői csoport Oroszországból. Néhány alternatív nevük Cozy Bear, APT29 és The Dukes.

Nem meglepő, hogy egy olyan fejlett fenyegetettségi szereplő, mint ez, nem támaszkodik sok nyilvános projektre. Ehelyett a rakományuk nagy része soha nem látott, egyedileg készített rosszindulatú programokból áll. A Ceeloader a legújabb példa erre. Ahogy a neve is sugallja, ez egy trójai betöltő, amelynek célja annak biztosítása, hogy a másodlagos rakományok hibátlanul hajtsák végre a feltört rendszereken. Ez a rosszindulatú program C programozási nyelven íródott, és elsődleges jellemzője, hogy képes betölteni a hasznos adatokat a memóriába. Ez a trükk, más néven fájl nélküli végrehajtás, nagymértékben csökkenti a rosszindulatú programok által hagyott lábnyomot. A Ceeloader Malware-nek köszönhetően a Nobelium hackerek minimalizálhatták annak esélyét, hogy a kiberbiztonsági kutatók felfedezzék és feldarabolják rakományukat.

Fontos hozzátenni, hogy a Nobelium APT hackerei hajlamosak nagy horderejű célpontok után menni, és támadásaik természetesen nem okoznak komoly gondot a rendszeres felhasználóknak. Az egyik figyelemre méltó áldozatuk a közelmúltban az Egyesült Államok Nemzetközi Fejlesztési Ügynöksége volt.

A Ceeloader más kényelmes medvék rakományait szállítja

A fájl nélküli végrehajtáson kívül a Ceeloader Malware egy sajátos trükköt is alkalmaz a hasznos terhek lekérésére. Úgy tűnik, hogy a Nobelium hackerei feltört WordPress-webhelyek hálózatát használják rakományaik tárolására. Ennek valószínűleg az a célja, hogy elkerülje azokat a biztonsági intézkedéseket, amelyek rendszerint szűrik a véletlenszerű, nem jó hírű webhelyekhez vezető kapcsolatokat. Ezenkívül megnehezíti a biztonsági kutatók számára a rosszindulatú forgalom megkülönböztetését a szokásostól. A Ceeloader Malware valószínűleg más, egyedi gyártású Nobelium rakományokkal – például a Tomiris Backdoor Trojannal – együtt használható. A kampány hatóköre még nem világos.

December 8, 2021