Il gruppo Nobelium, accusato da Microsoft di avere orchestrato l’attacco alla supply chain di Solar Winds, starebbe usando un nuovo malware personalizzato soprannominato Ceeloader. Noto anche come APT29, The Dukes o Cozy Bear, questo gruppo è ritenuto dagli esperti occidentali colluso con il servizio di intelligence russo, ed è in attività da molto tempo. Fra le sue peculiarità note c’è l’impiego di malware e strumenti personalizzati, di cui si trova traccia nelle attività svolte. Fra questi è stato scoperto di recente Ceeloader, impiegato per attaccare fornitori di servizi cloud e di servizi gestiti (MSP).

Si tratta di una downloader personalizzato scritto in linguaggio C, che supporta l’esecuzione di payload shellcode direttamente in memoria. Tale malware è fortemente offuscato, e mescola le chiamate all’API di Windows con grandi blocchi di codice spazzatura per eludere la detection da parte dei software di sicurezza.

Ceeloader comunica tramite HTTP e la risposta del server di comando e controllo viene decifrata utilizzando la crittografia AES-256 in modalità CBC. Ceeloader viene installato ed eseguito da un beacon Cobalt Strike a seconda della necessità, e non include un meccanismo di persistenza. Quello che appare certo alla luce del monitoraggio di Mandiant è la spiccata attività di questo gruppo negli attacchi alle supply chain. Sono numerose infatti le violazioni contro i fornitori cloud e gli MSP, come tattica per ottenere l’accesso iniziale all’ambiente di rete dei clienti scelti come target.

I ricercatori spiegano che “in almeno un caso gli attaccanti hanno identificato e compromesso un account VPN locale e lo hanno sfruttato per eseguire ricognizioni e ottenere ulteriore accesso alle risorse interne dell’ambiente target, con conseguente compromissione degli account di dominio interni”.

Da notare che spesso questo gruppo compromette più account all’interno di un unico ambiente, e li utilizza per funzioni separate, così da non mettere a rischio l’intera operazione in caso che la compromissione di uno degli account venga scoperta.

Gli attacchi inoltre vengono mascherati utilizzando indirizzi IP residenziali (proxy), TOR, VPS (Virtual Private Services) e VPN (Virtual Private Networks) per accedere all’ambiente della vittima. I payload sono scaricati a volte da siti WordPress compromessi, saltuariamente da sistemi ospitati da Microsoft Azure con indirizzi IP vicini a quelli della rete target. Così facendo si fondono attività esterne e traffico interno, rendendo improbabile il rilevamento dell’attività dannosa e complicando l’analisi forense.

L’attività di monitoraggio ha inoltre ipotizzato che Nobelium potrebbe essere composto da due gruppi di hacking distinti e cooperanti: UNC2652, che starebbe prendendo di mira entità diplomatiche con email di phishing che contengono allegati HTML con JavaScript dannoso, e UNC3004  che concentrerebbe invece l’attività su Cloud Solution Provider e Managed Service Provider per ottenere l’accesso ai clienti downstream.

 

https://www.securityopenlab.it/news/1753/apt-nobelium-ha-una-nuova-arma-il-malware-ceeloader.html

https://www.mandiant.com/resources/russian-targeting-gov-business 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE