【安全资讯】俄罗斯黑客组织使用新型Ceeloader恶意软件攻击全球企业和政府

安恒威胁情报中心 2021-12-07 14:46:50 347人浏览

引言

12月6日,研究人员发布报告称,俄罗斯黑客组织正使用新的自定义“Ceeloader”恶意软件,破坏全球政府和企业网络。研究人员将攻击活动归因于UNC3004 和 UNC2652,这两个黑客组织与Nobelium组织相关。

 

简况

Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。攻击者的初始入侵方式包括:

  1. 破坏云提供商和 MSP
  2. 通过信息窃取恶意软件攻击活动获得访问权限
  3. 滥用重复多因素身份验证推送通知

 

CEELOADER是用 C 语言编写的新型自定义下载器,可以直接在内存中执行shellcode 负载。该恶意软件被严重混淆,攻击者使用混淆工具将 CEELOADER 中的代码隐藏在大块垃圾代码之间,并对 Windows API 进行无意义调用。CEELOADER 通过 HTTP 通信,C&C 响应在 CBC 模式下使用 AES-256 解密。此外,自定义 Ceeloader 下载器根据需要由 Cobalt Strike Beacon安装和执行,不包含持久性机制。

 

为了规避追踪,黑客组织使用住宅 IP 地址(代理)、TOR、VPS(虚拟专用服务)和 VPN(虚拟专用网络)来访问受害者的环境。在某些情况下,受感染的 WordPress 站点用于托管第二阶段有效负载。

 

研究人员评估称,其中一些活动属于 UNC2652集群,是针对外交实体的活动,活动中传播包含带有恶意附件的网络钓鱼电子邮件,最终释放 BEACON 启动器。另外一些活动属于UNC3004,这是一个针对政府和企业实体的活动集群,通过访问云解决方案提供商/管理服务提供商来访问下游客户。

 

微软此前曾报告过UNC2652和UNC3004活动,并将其与 UNC2452(Nobelium)相关联。研究人员目前没有足够的证据证明这几个集群属于同一群攻击者。

 

总结

研究人员观察到,攻击者窃取了对俄罗斯具有政治利益的文件。黑客组织仍在利用第三方和受信任的供应商(如 CSP)渗透有价值的目标网络,因此组织必须保持警惕,及时更新其系统。

 

失陷指标(IOC)27
APT UNC2652 UNC3004 Nobelium Ceeloader 政府部门
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。