Η ομάδα hacking Nobelium χρησιμοποιεί το νέο malware Ceeloader

Η ομάδα hacking Nobelium συνεχίζει να παραβιάζει κυβερνητικά και εταιρικά δίκτυα παγκόσμια στοχεύοντας τους παρόχους υπηρεσιών cloud και διαχειριζόμενων υπηρεσιών με την χρήση του νέου προσαρμοσμένου malware “Ceeloader”.

Δείτε επίσης: Καμπάνια Magnat: Malware διαδίδεται μέσω ψεύτικων λήψεων software

Nobelium είναι το όνομα που έδωσε η Microsoft στον απειλητικό παράγοντα πίσω από την περσινή επίθεση στην εφοδιαστική αλυσίδα της SolarWinds που οδήγησε στην παραβίαση αρκετών ομοσπονδιακών υπηρεσιών των ΗΠΑ. Αυτή η ομάδα πιστεύεται ότι είναι το τμήμα hacking της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR), κοινώς γνωστή ως APT29, The Dukes ή Cozy Bear.

Ενώ η Nobelium είναι μια προηγμένη ομάδα hacking που χρησιμοποιεί προσαρμοσμένο malware και εργαλεία, εξακολουθεί να αφήνει ίχνη δραστηριότητας που μπορούν να χρησιμοποιήσουν οι ερευνητές για να αναλύσουν τις επιθέσεις τους.

Σε μια νέα έκθεση από τη Mandiant, οι ερευνητές χρησιμοποίησαν αυτή τη δραστηριότητα για να αποκαλύψουν τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιεί η ομάδα hacking, καθώς και ένα νέο προσαρμοσμένο πρόγραμμα λήψης που ονομάζεται “Ceeloader”.

Επιπλέον, οι ερευνητές χωρίζουν την Nobelium σε δύο ξεχωριστές ομάδες δραστηριότητας που αποδίδονται στα UNC3004 και UNC2652, πράγμα που θα μπορούσε να σημαίνει ότι η Nobelium είναι δύο συνεργαζόμενες ομάδες hacking.

Δείτε επίσης: Μια απλή τεχνική ενισχύει τις εκστρατείες phishing για τη διάδοση malware

Με βάση τη δραστηριότητα που έχει δει η Mandiant, οι φορείς της Nobelium συνεχίζουν να παραβιάζουν τους παρόχους cloud και τους MSP ως τρόπο να αποκτήσουν αρχική πρόσβαση στο περιβάλλον δικτύου των μεταγενέστερων πελατών τους.

Σε μία άλλη παραβίαση, η ομάδα εισβολής χρησιμοποίησε το password-stealing malware CRYPTBOT για να κλέψει έγκυρα tokens περιόδου λειτουργίας που χρησιμοποιούνται για τον έλεγχο ταυτοποίησης στο περιβάλλον Microsoft 365 του θύματος.

Αξίζει να σημειωθεί ότι η Nobelium παραβιάζει πολλούς λογαριασμούς σε ένα μόνο περιβάλλον, χρησιμοποιώντας τον καθένα από αυτούς για ξεχωριστές λειτουργίες, με αποτέλεσμα να μην διακινδυνεύει ολόκληρη τη λειτουργία σε περίπτωση έκθεσης.

Ένα νέο προσαρμοσμένο malware “Ceeloader”

Η Nobelium είναι γνωστή για την ανάπτυξη και χρήση προσαρμοσμένου malware που επιτρέπει την backdoor πρόσβαση σε δίκτυα, τη λήψη περαιτέρω malware, την ανίχνευση δικτύου, την κλοπή NTLM credential και άλλες κακόβουλες συμπεριφορές.

Η Mandiant ανακάλυψε ένα νέο προσαρμοσμένο πρόγραμμα λήψης που ονομάζεται “Ceeloader” γραμμένο σε C και υποστηρίζει την εκτέλεση shellcode payloads απευθείας στη μνήμη.

Το malware είναι obfuscated και αναμιγνύει τις κλήσεις προς το API των Windows με μεγάλα blocks junk code για να αποφύγει τον εντοπισμό από το λογισμικό ασφαλείας.

Το Ceeloader επικοινωνεί μέσω HTTP, ενώ η απόκριση C2 αποκρυπτογραφείται χρησιμοποιώντας AES-256 σε λειτουργία CBC.

Δείτε επίσης: eCommerce servers στοχεύονται με malware που κρύβεται στους servers Nginx

Το προσαρμοσμένο downloader Ceeloader εγκαθίσταται και εκτελείται από έναν Cobalt Strike beacon όπως απαιτείται και δεν περιλαμβάνει persistence για να επιτρέπεται η αυτόματη εκτέλεση κατά την εκκίνηση του παραθύρου.

Η Nobelium έχει χρησιμοποιήσει πολλά προσαρμοσμένα στελέχη κακόβουλου λογισμικού στο παρελθόν, ειδικά κατά τη διάρκεια των επιθέσεων της Solarwinds και σε μια επίθεση phishing κατά της Υπηρεσίας Διεθνούς Ανάπτυξης των Ηνωμένων Πολιτειών (USAID).

Πηγή πληροφοριών: bleepingcomputer.com