Хакеры Nobelium APT представляют вредоносное ПО Ceeloader

Актер Nobelium Advanced Persistent Threat (APT) вернулся с новым вредоносным ПО под названием Ceeloader. Преступники, сыгравшие главную роль в атаке SolarWinds, являются одной из самых известных киберпреступных группировок за пределами России. Некоторые из их альтернативных имен - Cozy Bear, APT29 и The Dukes.

Неудивительно, что такой продвинутый злоумышленник не полагается на многие публичные проекты. Вместо этого большая часть их полезной нагрузки состоит из невиданных ранее вредоносных программ, созданных на заказ. Ceeloader - последний тому пример. Как следует из названия, это троян-загрузчик, цель которого - обеспечить безупречное выполнение вторичных полезных нагрузок на скомпрометированных системах. Эта вредоносная программа написана на языке программирования C, и ее основной особенностью является возможность загружать полезные данные в память. Этот трюк, также известный как бесфайловое выполнение, значительно сокращает объем вредоносных программ. Благодаря вредоносному ПО Ceeloader, хакеры Nobelium могут свести к минимуму вероятность того, что их полезные данные будут обнаружены и проанализированы исследователями кибербезопасности.

Важно добавить, что хакеры Nobelium APT, как правило, преследуют высокопоставленные цели, и их атаки, безусловно, не представляют серьезной проблемы для обычных пользователей. Одной из недавних заметных жертв стало Агентство США по международному развитию.

Ceeloader доставляет и другие полезные грузы Cosy Bear

Помимо функции безфайлового выполнения, вредоносное ПО Ceeloader также использует своеобразный трюк для получения полезных данных. Похоже, что хакеры Nobelium используют сеть взломанных веб-сайтов WordPress для размещения своих полезных данных. Вероятно, это сделано для того, чтобы избежать мер безопасности, которые обычно фильтруют подключения к случайным, не пользующимся репутацией сайтам. Кроме того, исследователям безопасности становится сложнее отличить вредоносный трафик от обычного. Вредоносное ПО Ceeloader, вероятно, будет использоваться в сочетании с другими специально созданными полезными нагрузками Nobelium, такими как троян Tomiris Backdoor . Масштабы этой кампании пока не ясны.

December 8, 2021