Ceeloader Malware
Die Nobelium APT-Gruppe (Advanced Persistent Threat) ist weiterhin in der Cyber-Spionage-Landschaft aktiv. Diesmal wurden die Aktivitäten der Hacker von infosec-Forschern aufgedeckt. Den Ergebnissen zufolge zielt Nobelium weiterhin auf Cloud-Anbieter und MSP (Managed Service Provider) ab, um einen ersten Zugang zu den internen Netzwerken ihrer wahren Ziele zu erhalten. Die Forscher stellen auch fest, dass die Cybergang weiterhin neue maßgeschneiderte Malware-Bedrohungen enthüllt, diesmal in Form eines neuen Downloaders namens Ceeloader.
Inhaltsverzeichnis
Benutzerdefinierte Malware
Die Bedrohung ist in C geschrieben und kann Shellcode-Nutzlasten im Speicher ausführen, ohne sie auf eine Disc schreiben zu müssen. Um mit seinem Command-and-Control-Server (C2, C&C) zu kommunizieren, verwendet die Bedrohung HTTP, während der eingehende Datenverkehr mit AES-256 im CBC-Modus verschlüsselt wird. Ceeloader wird über ein Cobalt-Strike- Beacon auf den kompromittierten Systemen bereitgestellt und baut keinen eigenen Persistenzmechanismus auf. Seine Hauptaufgabe besteht darin, die Nutzlasten der nächsten Stufe des Angriffs abzurufen und bereitzustellen.
Ausweichtechniken
Um die Erkennung zu erschweren, ist Ceeloaderstark verschleiert. Die Aufrufe an die Windows-API werden zwischen großen Blöcken von Junk-Code verschlüsselt. Nobelium verwendet auch andere Umgehungsmethoden, wie z. B. private IP-Adressen als Proxys, VPS und VPN, bevor auf die kompromittierte Umgebung zugegriffen wird und so weiter. In einigen Fällen konnten die Forscher Payloads der zweiten Stufe identifizieren, die in angegriffene WordPress-Server injiziert wurden. In den Kampagnen verwendeten die Hacker anscheinend legitime von Microsoft Azure gehostete Systeme, da ihre IP-Adressen in unmittelbarer Nähe zum kompromittierten Netzwerk waren.
Staat-gesponserte Gruppe
Nobelium nennt Microsoft den Bedrohungsakteur, der für den massiven Angriff auf die Lieferkette von SolarWinds verantwortlich ist. Dieselbe APT-Gruppe wird auch als APT29, Cosy Bear and the Dukes verfolgt. Es gibt Hinweise darauf, dass die Gruppe entweder enge Verbindungen zu Russland hat oder eine Hackerabteilung des ausländischen Geheimdienstes des Landes ist.
Nobelium ist eine fortschrittliche Hacking-Gruppe mit beträchtlichen Ressourcen, die Zugriff auf mehrere maßgeschneiderte Malware-Bedrohungen und -Tools hat. Seine Operationen sind überwiegend auf US-Behörden ausgerichtet mit dem Ziel, sensible Informationen zu erlangen. Die jüngsten Aktivitäten der Gruppe folgen diesem Muster, wobei beobachtet wurde, wie die Hacker mehrere Dokumente von ihren Opfern exfiltrieren, von denen angenommen wird, dass sie Informationen von besonderem Interesse für Russland enthalten.
