Ceeloader Malware

El grupo Nobelium APT (Advanced Persistent Threat) sigue activo en el panorama del ciberespionaje. Esta vez, las actividades de los piratas informáticos fueron reveladas por investigadores de seguridad. Según los hallazgos, Nobelium sigue apuntando a los proveedores de nube y MSP (Managed Service Providers) como un medio para obtener acceso inicial a las redes internas de sus verdaderos objetivos. Los investigadores también señalan que la banda cibernética continúa revelando nuevas amenazas de malware personalizadas, esta vez en forma de un nuevo descargador llamado Ceeloader.

Malware personalizado

La amenaza está escrita en C y puede ejecutar cargas útiles de shellcode en la memoria sin la necesidad de escribirlas en el disco. Para comunicarse con su servidor de Comando y Control (C2, C&C), la amenaza usa HTTP, mientras que el tráfico entrante está encriptado con AES-256 en modo CBC. Ceeloader se implementa en los sistemas comprometidos a través de una baliza Cobalt Strike y no establece ningún mecanismo de persistencia propio. Su tarea principal es buscar y desplegar las cargas útiles de la siguiente etapa del ataque.

Técnicas de evasión

Para hacer la detección mucho más difícil, Ceeloader esofuscado en gran medida. Las llamadas que realiza a la API de Windows se mezclan entre grandes trozos de código basura. Nobelium también emplea otros métodos de evasión, como direcciones IP residenciales como proxies, VPS y VPN antes de acceder al entorno comprometido y más. En algunos casos, los investigadores pudieron identificar cargas útiles de segunda etapa inyectadas en servidores de WordPress violados. En las campañas, los piratas informáticos utilizaron sistemas legítimos alojados en Microsoft Azure aparentemente, debido al hecho de que sus direcciones IP estaban muy cerca de la red comprometida.

Grupo patrocinado por la nación

Nobelium es el nombre que Microsoft le da al actor de amenazas responsable del ataque masivo a la cadena de suministro de SolarWinds. El mismo grupo de APT también se rastrea como APT29, Cozy Bear y los Dukes. La evidencia sugiere que el grupo tiene fuertes vínculos con Rusia o es directamente una división de piratería del Servicio de Inteligencia Exterior del país.

Nobelium es un grupo de piratería avanzada con recursos considerables que tiene acceso a múltiples amenazas y herramientas de malware personalizadas. Sus operaciones están dirigidas a agencias de EE. UU.predominantemente, con el objetivo de adquirir información sensible. Las últimas actividades del grupo siguen este patrón, y se observa a los piratas informáticos exfiltrar múltiples documentos de sus víctimas que se cree que contienen información de particular interés para Rusia.

Tendencias

Mas Visto

Cargando...