Ceeloader Malware

Le groupe Nobelium APT (Advanced Persistent Threat) continue d'être actif dans le paysage du cyber-espionnage. Cette fois, les activités des pirates ont été révélées par des chercheurs d'infosec. Selon les résultats, Nobelium cible toujours les fournisseurs de cloud et les MSP (Managed Service Providers) comme moyen d'obtenir un accès initial aux réseaux internes de leurs véritables cibles. Les chercheurs notent également que le cybergang continue de révéler de nouvelles menaces de logiciels malveillants sur mesure, cette fois sous la forme d'un nouveau téléchargeur nommé Ceeloader.

Logiciels malveillants personnalisés

La menace est écrite en C et peut exécuter des charges utiles de shellcode dans la mémoire sans avoir besoin de les écrire sur le disque. Pour communiquer avec son serveur Command-and-Control (C2, C&C), la menace utilise HTTP, tandis que le trafic entrant est chiffré avec AES-256 en mode CBC. Ceeloader est déployé sur les systèmes compromis via une balise Cobalt Strike et n'établit aucun mécanisme de persistance propre. Sa tâche principale est de récupérer et de déployer les charges utiles de la prochaine étape de l'attaque.

Techniques d’évasion

Pour rendre la détection encore plus difficile, Ceeloader estobscurcie fortement. Les appels qu'il effectue à l'API Windows sont brouillés parmi de gros morceaux de code indésirable. Nobelium utilise également d'autres méthodes d'évasion, telles que les adresses IP résidentielles comme proxy, VPS et VPN avant d'accéder à l'environnement compromis et plus encore. Dans certains cas, les chercheurs ont pu identifier les charges utiles de deuxième étape injectées dans les serveurs WordPress violés. Dans les campagnes, les pirates ont apparemment utilisé des systèmes légitimes hébergés par Microsoft Azure, en raison du fait que leurs adresses IP étaient à proximité du réseau compromis.

Groupe parrainé par la nation

Nobelium est le nom donné par Microsoft à l'acteur menaçant responsable de l'attaque massive de la chaîne d'approvisionnement de SolarWinds. Le même groupe APT est également suivi comme APT29, Cozy Bear and the Dukes. Les preuves suggèrent que le groupe a des liens étroits avec la Russie ou est carrément une division de piratage du service de renseignement étranger du pays.

Nobelium est un groupe de piratage avancé doté de ressources importantes qui a accès à plusieurs menaces et outils de malware personnalisés. Ses opérations ciblent les agences américainesprincipalement, dans le but d'acquérir des informations sensibles. Les dernières activités du groupe suivent ce schéma, les pirates étant observés en train d'exfiltrer plusieurs documents de leurs victimes qui contiendraient des informations présentant un intérêt particulier pour la Russie.

Tendance

Le plus regardé

Chargement...