Hakerzy Nobelium APT wprowadzają złośliwe oprogramowanie Ceeloader

Aktor Nobelium Advanced Persistent Threat (APT) powraca z nowym złośliwym oprogramowaniem o nazwie Ceeloader. Przestępcy, którzy odegrali główną rolę w ataku SolarWinds, to jedna z najbardziej znanych grup cyberprzestępczych, które wyszły z Rosji. Niektóre z ich alternatywnych nazw to Cozy Bear, APT29 i The Dukes.

Nic dziwnego, że tak zaawansowany aktor zajmujący się zagrożeniami, jak ten, nie polega na wielu projektach publicznych. Zamiast tego większość ich ładunków składa się z nigdy wcześniej nie widzianego, niestandardowego złośliwego oprogramowania. Najnowszym tego przykładem jest Ceeloader. Jak sama nazwa wskazuje, jest to trojan ładujący, którego celem jest zapewnienie bezbłędnego wykonywania dodatkowych ładunków na zaatakowanych systemach. Szkodnik ten jest napisany w języku programowania C, a jego główną cechą jest możliwość ładowania ładunków do pamięci. Ta sztuczka, znana również jako wykonywanie bez plików, znacznie zmniejsza ślad, jaki pozostawia po sobie aktywność złośliwego oprogramowania. Dzięki Ceeloader Malware hakerzy Nobelium mogli zminimalizować prawdopodobieństwo wykrycia i przeanalizowania ich ładunków przez badaczy cyberbezpieczeństwa.

Należy dodać, że hakerzy Nobelium APT mają tendencję do ścigania głośnych celów, a ich ataki z pewnością nie stanowią większego problemu dla zwykłych użytkowników. Jedną z ich niedawnych godnych uwagi ofiar była Agencja ds. Rozwoju Międzynarodowego Stanów Zjednoczonych.

Ceeloader dostarcza inne przytulne ładunki misia

Oprócz funkcji wykonywania bez plików, Ceeloader Malware wykorzystuje również osobliwą sztuczkę do pobierania ładunków. Wygląda na to, że hakerzy Nobelium wykorzystują sieć zhakowanych witryn WordPress do hostowania swoich ładunków. Prawdopodobnie ma to na celu uniknięcie środków bezpieczeństwa, które zwykle filtrowałyby połączenia z losowymi, niereputowanymi witrynami. Ponadto utrudnia to badaczom bezpieczeństwa odróżnienie złośliwego ruchu od zwykłego. Malware Ceeloader może być używany w połączeniu z innymi niestandardowymi ładunkami Nobelium — takimi jak trojan Tomiris Backdoor . Zakres tej kampanii nie jest jeszcze jasny.

December 8, 2021