Nobelium APT Hackers introduserer Ceeloader Malware

Nobelium Advanced Persistent Threat (APT)-skuespilleren er tilbake med en ny skadevare kalt Ceeloader. De kriminelle som hadde en hovedrolle i SolarWinds-angrepet er en av de mest kjente nettkriminalitetsgruppene som har kommet ut av Russland. Noen av deres alternative navn er Cozy Bear, APT29 og The Dukes.

Ikke overraskende er ikke en avansert trusselaktør som denne avhengig av mange offentlige prosjekter. I stedet består de fleste av deres nyttelast av aldri før sett, spesialbygd skadelig programvare. Ceeloader er det siste eksemplet på dette. Som navnet antyder, er dette en trojansk laster hvis formål er å sikre at sekundære nyttelaster utføres feilfritt på kompromitterte systemer. Denne skadelige programvaren er skrevet i programmeringsspråket C, og dens primære funksjon er muligheten til å laste nyttelast inn i minnet. Dette trikset, også kjent som filløs kjøring, reduserer i stor grad fotavtrykket som skadelig programvare-aktivitet etterlater. Takket være Ceeloader Malware kunne Nobelium-hackere minimere sjansene for at nyttelastene deres blir oppdaget og dissekert av cybersikkerhetsforskere.

Det er viktig å legge til at Nobelium APT-hackere har en tendens til å gå etter høyprofilerte mål, og deres angrep er absolutt ikke en stor bekymring for vanlige brukere. Et av deres bemerkelsesverdige nylige ofre har vært United States Agency for International Development.

Ceeloader leverer andre koselige bjørner

Bortsett fra den filløse kjøringsfunksjonen, bruker Ceeloader Malware også et særegent triks for å hente nyttelast. Det ser ut til at Nobelium-hackerne bruker et nettverk av kompromitterte WordPress-nettsteder for å være vert for nyttelastene deres. Dette er sannsynligvis ment å bidra til å unngå sikkerhetstiltak som vanligvis vil filtrere tilkoblinger til tilfeldige, ikke-anerkjente nettsteder. Videre gjør det det vanskeligere for sikkerhetsforskere å skille den ondsinnede trafikken fra vanlig. Ceeloader Malware vil sannsynligvis bli brukt i kombinasjon med andre spesialbygde Nobelium-nyttelaster - for eksempel Tomiris Backdoor Trojan . Omfanget av denne kampanjen er ennå ikke klart.

December 8, 2021