【安全资讯】俄罗斯黑客组织使用新型Ceeloader恶意软件攻击全球企业和政府

引言

12月6日，研究人员发布报告称，俄罗斯黑客组织正使用新的自定义“Ceeloader”恶意软件，破坏全球政府和企业网络。研究人员将攻击活动归因于UNC3004 和 UNC2652，这两个黑客组织与Nobelium组织相关。

简况

Nobelium APT组织是SolarWinds事件的攻击者，是俄罗斯外国情报局 (SVR) 支持的黑客组织，也被称为APT29、Cozy Bear和The Dukes。攻击者的初始入侵方式包括：

1. 破坏云提供商和 MSP
2. 通过信息窃取恶意软件攻击活动获得访问权限
3. 滥用重复多因素身份验证推送通知

CEELOADER是用 C 语言编写的新型自定义下载器，可以直接在内存中执行shellcode 负载。该恶意软件被严重混淆，攻击者使用混淆工具将 CEELOADER 中的代码隐藏在大块垃圾代码之间，并对 Windows API 进行无意义调用。CEELOADER 通过 HTTP 通信，C&C 响应在 CBC 模式下使用 AES-256 解密。此外，自定义 Ceeloader 下载器根据需要由 Cobalt Strike Beacon安装和执行，不包含持久性机制。

为了规避追踪，黑客组织使用住宅 IP 地址（代理）、TOR、VPS（虚拟专用服务）和 VPN（虚拟专用网络）来访问受害者的环境。在某些情况下，受感染的 WordPress 站点用于托管第二阶段有效负载。

研究人员评估称，其中一些活动属于 UNC2652集群，是针对外交实体的活动，活动中传播包含带有恶意附件的网络钓鱼电子邮件，最终释放 BEACON 启动器。另外一些活动属于UNC3004，这是一个针对政府和企业实体的活动集群，通过访问云解决方案提供商/管理服务提供商来访问下游客户。

微软此前曾报告过UNC2652和UNC3004活动，并将其与 UNC2452（Nobelium）相关联。研究人员目前没有足够的证据证明这几个集群属于同一群攻击者。

总结

研究人员观察到，攻击者窃取了对俄罗斯具有政治利益的文件。黑客组织仍在利用第三方和受信任的供应商（如 CSP）渗透有价值的目标网络，因此组织必须保持警惕，及时更新其系统。