Un nuevo malware creado por el grupo de piratería ruso Nobelium

Un grupo de piratas informáticos respaldado por el estado ruso conocido como Nobelium utiliza un nuevo malware personalizado: Ceeloader. Está escrito en C y está muy ofuscado.

Traído a la máquina de la víctima por balizas CobaltStrike, Ceeloader se usa para ejecutar otras cargas útiles de shellcode directamente en la memoria. En general, este nuevo Nobelium utiliza el nuevo malware interno con fines de reconocimiento.

Índice de contenidos

    Nuevo software malicioso interno de Nobelium

    Los grupos de piratas informáticos mediocres a menudo usan scripts disponibles y herramientas prefabricadas de otros, lo que les facilita el trabajo. Pero, también se pueden romper fácilmente ya que se usan ampliamente y se exponen. Por lo tanto, los grupos de piratas informáticos prominentes, como los respaldados por el estado, usan malware personalizado, hecho internamente.

    Rusia Nobelio es uno de ellos. También conocido como APT29, Los duques, o la Oso acogedor, esta banda está vinculada al Servicio de Inteligencia Exterior de Rusia (SVR) y fue etiquetada por Microsoft en dos grupos: UNC3004 y UNC2652. También se cree que Nobelium es el principal golpe del ataque SolarWinds del año pasado.

    Ahora, se descubre que el grupo está utilizando un nuevo malware personalizado llamado Ceeloader, como apunta la firma de seguridad Mandiant. En su documento técnico UNC2452 actualizado, Mandiant dijo que Ceeloader fue escrito en C y está muy ofuscado con grandes bloques de código basura.

    Esto es para evitar la detección por parte del software de seguridad, ya que mezclar las llamadas C2 a la API de Windows con código innecesario dificulta la detección. Ceeloader se introduce inicialmente en la máquina del objetivo mediante balizas CobaltStrike y es capaz de ejecutar cargas útiles de shellcode directamente en la memoria.

    Al comunicarse a través de HTTP, las conexiones de Ceeloader al C2 del hacker se descifran utilizando AES-256 en modo CBC. Mandiant señaló que la banda Nobelium usa direcciones IP residenciales (proxies), TOR, VPS y VPN para acceder al entorno de la víctima, lo que dificulta mucho su rastreo.

    Además, se encuentran utilizando sitios de WordPress comprometidos para alojar sus cargas útiles de segunda etapa, e incluso sistemas legítimos alojados en Microsoft Azure para adquirir cargas útiles para Ceeloader. Todo esto se hace para realizar reconocimientos, ya que el robo de datos confidenciales es el principal objetivo de Nobelium.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir