Nobelium APT-hackers introduceren de Ceeloader-malware

De Nobelium Advanced Persistent Threat (APT)-acteur is terug met een nieuw stuk malware genaamd Ceeloader. De criminelen die een hoofdrol speelden in de SolarWinds-aanval zijn een van de meest bekende cybercriminaliteitsgroepen die uit Rusland komen. Sommige van hun alternatieve namen zijn Cosy Bear, APT29 en The Dukes.

Het is niet verwonderlijk dat een geavanceerde dreigingsactor als deze niet afhankelijk is van veel openbare projecten. In plaats daarvan bestaan de meeste van hun payloads uit nooit eerder vertoonde, op maat gemaakte malware. De Ceeloader is daar het nieuwste voorbeeld van. Zoals de naam al doet vermoeden, is dit een Trojan Loader waarvan het doel is ervoor te zorgen dat secundaire payloads foutloos worden uitgevoerd op gecompromitteerde systemen. Deze malware is geschreven in de programmeertaal C en het belangrijkste kenmerk is de mogelijkheid om payloads in het geheugen te laden. Deze truc, ook wel bestandsloze uitvoering genoemd, verkleint de voetafdruk die malware-activiteit achterlaat aanzienlijk. Dankzij de Ceeloader-malware konden Nobelium-hackers de kans verkleinen dat hun payloads worden ontdekt en ontleed door cyberbeveiligingsonderzoekers.

Het is belangrijk om toe te voegen dat de Nobelium APT-hackers de neiging hebben om achter spraakmakende doelen aan te gaan, en hun aanvallen zijn zeker geen grote zorg voor reguliere gebruikers. Een van hun opmerkelijke recente slachtoffers is de United States Agency for International Development.

Ceeloader levert andere Cosy Bear Payloads

Afgezien van de bestandsloze uitvoeringsfunctie, gebruikt de Ceeloader Malware ook een eigenaardige truc om payloads op te halen. Het lijkt erop dat de Nobelium-hackers een netwerk van gecompromitteerde WordPress-websites gebruiken om hun payloads te hosten. Dit is waarschijnlijk bedoeld om beveiligingsmaatregelen te helpen vermijden die normaal gesproken verbindingen met willekeurige, niet-gerenommeerde sites zouden filteren. Bovendien maakt het het voor beveiligingsonderzoekers moeilijker om kwaadwillend verkeer te onderscheiden van normaal verkeer. De Ceeloader-malware zal waarschijnlijk worden gebruikt in combinatie met andere op maat gemaakte Nobelium-payloads, zoals de Tomiris Backdoor Trojan . De reikwijdte van deze campagne is nog niet duidelijk.

December 8, 2021