【安全资讯】俄罗斯黑客组织使用新型Ceeloader恶意软件攻击全球企业和政府
引言
12月6日,研究人员发布报告称,俄罗斯黑客组织正使用新的自定义“Ceeloader”恶意软件,破坏全球政府和企业网络。研究人员将攻击活动归因于UNC3004 和 UNC2652,这两个黑客组织与Nobelium组织相关。
简况
Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。攻击者的初始入侵方式包括:
- 破坏云提供商和 MSP
- 通过信息窃取恶意软件攻击活动获得访问权限
- 滥用重复多因素身份验证推送通知
CEELOADER是用 C 语言编写的新型自定义下载器,可以直接在内存中执行shellcode 负载。该恶意软件被严重混淆,攻击者使用混淆工具将 CEELOADER 中的代码隐藏在大块垃圾代码之间,并对 Windows API 进行无意义调用。CEELOADER 通过 HTTP 通信,C&C 响应在 CBC 模式下使用 AES-256 解密。此外,自定义 Ceeloader 下载器根据需要由 Cobalt Strike Beacon安装和执行,不包含持久性机制。
为了规避追踪,黑客组织使用住宅 IP 地址(代理)、TOR、VPS(虚拟专用服务)和 VPN(虚拟专用网络)来访问受害者的环境。在某些情况下,受感染的 WordPress 站点用于托管第二阶段有效负载。
研究人员评估称,其中一些活动属于 UNC2652集群,是针对外交实体的活动,活动中传播包含带有恶意附件的网络钓鱼电子邮件,最终释放 BEACON 启动器。另外一些活动属于UNC3004,这是一个针对政府和企业实体的活动集群,通过访问云解决方案提供商/管理服务提供商来访问下游客户。
微软此前曾报告过UNC2652和UNC3004活动,并将其与 UNC2452(Nobelium)相关联。研究人员目前没有足够的证据证明这几个集群属于同一群攻击者。
总结
研究人员观察到,攻击者窃取了对俄罗斯具有政治利益的文件。黑客组织仍在利用第三方和受信任的供应商(如 CSP)渗透有价值的目标网络,因此组织必须保持警惕,及时更新其系统。