Nobelium APT 黑客推出 Ceeloader 恶意软件

Nobelium Advanced Persistent Threat (APT) 攻击者带着一种名为 Ceeloader 的新恶意软件回来了。在 SolarWinds 攻击中起主要作用的犯罪分子是来自俄罗斯的最著名的网络犯罪集团之一。他们的一些替代名称是 Cozy Bear、APT29 和 The Dukes。

不出所料,像这样的高级威胁参与者并不依赖许多公共项目。相反,他们的大部分有效负载都包含前所未见的定制恶意软件。 Ceeloader 是最新的例子。顾名思义,这是一个特洛伊木马加载程序,其目的是确保在受感染的系统上完美地执行辅助负载。该恶意软件是用 C 编程语言编写的,其主要功能是能够将有效负载加载到内存中。这个技巧,也称为无文件执行,大大减少了恶意软件活动留下的足迹。多亏了 Ceeloader 恶意软件,Nobelium 黑客可以最大限度地减少其有效载荷被网络安全研究人员发现和剖析的可能性。

重要的是要补充一点,Nobelium APT 黑客倾向于攻击高知名度的目标,他们的攻击当然不是普通用户的主要关注点。他们最近著名的受害者之一是美国国际开发署。

Ceeloader 提供其他 Cozy Bear Payload

除了无文件执行功能外,Ceeloader 恶意软件还使用一种特殊的技巧来获取有效负载。看来,Nobelium 黑客正在使用受感染的 WordPress 网站网络来托管他们的有效载荷。这可能是为了帮助避免安全措施,这些措施通常会过滤与随机、无信誉站点的连接。此外,这让安全研究人员更难将恶意流量与普通流量区分开来。 Ceeloader 恶意软件可能会与其他定制的 Nobelium 有效载荷结合使用,例如Tomiris 后门木马。该活动的范围尚不清楚。

December 8, 2021