Nobelium APT Hackers Apresentam o Malware Ceeloader

O ator Nobelium Advanced Persistent Threat (APT) está de volta com um novo malware chamado Ceeloader. Os criminosos que tiveram um papel principal no ataque à SolarWinds são um dos grupos de cibercrime mais renomados vindos da Rússia. Alguns de seus nomes alternativos são Cosy Bear, APT29 e The Dukes.

Não é novidade que um ator de ameaças avançado como este não depende de muitos projetos públicos. Em vez disso, a maioria de suas cargas consiste em malware personalizado nunca visto antes. O Ceeloader é o exemplo mais recente disso. Como o próprio nome sugere, este é um Trojan Loader cujo objetivo é garantir que as cargas secundárias sejam executadas sem falhas nos sistemas comprometidos. Este malware é escrito na linguagem de programação C e seu recurso principal é a capacidade de carregar cargas úteis na memória. Esse truque, também conhecido como execução sem arquivo, reduz muito a área de cobertura que a atividade do malware deixa para trás. Graças ao Ceeloader Malware, os hackers do Nobelium poderiam minimizar as chances de suas cargas serem descobertas e dissecadas por pesquisadores de segurança cibernética.

É importante acrescentar que os hackers do Nobelium APT tendem a ir atrás de alvos de alto perfil, e seus ataques certamente não são uma grande preocupação para usuários regulares. Uma de suas vítimas recentes notáveis foi a Agência dos Estados Unidos para o Desenvolvimento Internacional.

Ceeloader oferece outras cargas úteis do Cozy Bear

Além do recurso de execução sem arquivo, o Ceeloader Malware também usa um truque peculiar para buscar cargas úteis. Parece que os hackers do Nobelium estão usando uma rede de sites WordPress comprometidos para hospedar suas cargas úteis. Isso provavelmente visa ajudar a evitar medidas de segurança que normalmente filtrariam conexões para sites aleatórios e não confiáveis. Além disso, torna mais difícil para os pesquisadores de segurança distinguir o tráfego malicioso do normal. O Ceeloader Malware provavelmente será usado em combinação com outras cargas úteis Nobelium personalizadas - como o cavalo de Troia Tomiris Backdoor . O escopo desta campanha ainda não está claro.

December 8, 2021