Nobelium APT 黑客推出 Ceeloader 惡意軟件

Nobelium Advanced Persistent Threat (APT) 攻擊者帶著一種名為 Ceeloader 的新惡意軟件回來了。在 SolarWinds 攻擊中起主要作用的犯罪分子是來自俄羅斯的最著名的網絡犯罪集團之一。他們的一些替代名稱是 Cozy Bear、APT29 和 The Dukes。

不出所料,像這樣的高級威脅參與者並不依賴許多公共項目。相反,他們的大部分有效負載都包含前所未見的定制惡意軟件。 Ceeloader 是最新的例子。顧名思義,這是一個特洛伊木馬加載程序,其目的是確保在受感染的系統上完美地執行輔助負載。該惡意軟件是用 C 編程語言編寫的,其主要功能是能夠將有效負載加載到內存中。這個技巧,也稱為無文件執行,大大減少了惡意軟件活動留下的足跡。多虧了 Ceeloader 惡意軟件,Nobelium 黑客可以最大限度地減少其有效載荷被網絡安全研究人員發現和剖析的可能性。

需要補充的是,Nobelium APT 黑客傾向於攻擊高知名度的目標,他們的攻擊當然不是普通用戶的主要關注點。他們最近著名的受害者之一是美國國際開發署。

Ceeloader 提供其他 Cozy Bear Payload

除了無文件執行功能外,Ceeloader 惡意軟件還使用一種特殊的技巧來獲取有效負載。看來,Nobelium 黑客正在使用受感染的 WordPress 網站網絡來託管他們的有效載荷。這可能是為了幫助避免安全措施,這些措施通常會過濾與隨機、無信譽站點的連接。此外,這讓安全研究人員更難將惡意流量與普通流量區分開來。 Ceeloader 惡意軟件可能會與其他定制的 Nobelium 有效載荷結合使用,例如Tomiris 後門木馬。該活動的範圍尚不清楚。

December 8, 2021