Grupo de ciberdelincuentes rusos está utilizando un nuevo y sigiloso malware
El grupo de ciberdelincuentes Nobelium continúa vulnerando redes gubernamentales y empresariales en todo el mundo. Nobelium se está dirigiendo a los proveedores de servicios administrados y en la nube utilizando un nuevo malware personalizado llamado “Ceeloader”.
Nobelium es el nombre de Microsoft para los ciberdelincuentes detrás del ataque a la cadena de suministro SolarWinds del año pasado. Recordemos que este ataque llevó al compromiso de varias agencias federales de Estados Unidos. Y, se cree que este grupo es la división de hacking del Servicio de Inteligencia Exterior de Rusia (SVR), comúnmente conocido como APT29, The Dukes o Cozy Bear.
Si bien Nobelium es un grupo de hacking avanzado que usa malware y herramientas personalizadas , aún dejan rastros de actividad que los investigadores pueden usar para analizar sus ataques.
En un nuevo informe de Mandiant, los investigadores utilizaron esta actividad para descubrir tácticas, técnicas y procedimientos (TTP) utilizados por el grupo de hacking. Los investigadores también descubrieron un nuevo malware personalizado llamado “Ceeloader“.
Además, los investigadores dividen Nobelium en dos grupos distintos de actividad atribuidos a UNC3004 y UNC2652. Esto podría significar que Nobelium son dos grupos de hacking que cooperan.
Ataque a la cadena de suministro
Según la actividad observada por Mandiant, los ciberdelincuentes de Nobelium continúan vulnerando a los proveedores de la nube y los MSPs como una forma de obtener acceso inicial al entorno de red de sus clientes intermedios.
En al menos una instancia, el ciberdelincuente identificó y comprometió una cuenta de VPN local y utilizó esta cuenta de VPN para realizar un reconocimiento y obtener más acceso a los recursos internos dentro del entorno del CSP de la víctima. Esto finalmente condujo al compromiso de las cuentas de dominio interno.
En al menos otra infracción, el grupo de ciberdelincuentes utilizó el malware de robo de contraseñas CRYPTBOT para robar tokens de sesión válidos. Los tokens fueron utilizados para autenticarse en el entorno Microsoft 365 de la víctima.
Es de destacar que Nobelium compromete múltiples cuentas dentro de un solo entorno. Para lograr su objetivo utiliza cada una de ellas para funciones separadas, sin arriesgar así toda la operación en caso de exposición.
“Los actores de amenazas aprovecharon las cuentas privilegiadas comprometidas y utilizaron SMB, WMI remoto, registro de tareas programadas remotas y PowerShell para ejecutar comandos dentro de los entornos de las víctimas”.
“El ciberdelincuentes usó los protocolos principalmente para realizar reconocimientos, distribuir balizas (Cobalt Strike) por la red. Asimismo, para ejecutar comandos nativos de Windows para la recolección de credenciales”.
– Mandiant
Un nuevo malware personalizado llamado “Ceeloader”
Nobelium es conocido por su desarrollo y uso de malware personalizado que permite el acceso de puerta trasera a las redes, la descarga de más malware, el rastreo de redes, el robo de credenciales NTLM y otros comportamientos maliciosos.
Mandiant ha descubierto un nuevo malware personalizado llamado “Ceeloader”. Ceeloader está programado en C y admite la ejecución de payloads de shellcode directamente en la memoria.
El malware está muy ofuscado y mezcla llamadas a la API de Windows con grandes bloques de código basura. Esto para evadir la detección por parte del software de seguridad.
Ceeloader se comunica a través de HTTP, mientras que la respuesta C2 se descifra mediante AES-256 en modo CBC.
El descargador de Ceeloader personalizado se instala y ejecuta mediante una baliza de Cobalt Strike según sea necesario. Y, no incluye persistencia para permitir que se ejecute automáticamente cuando se inicia Windows.
Nobelium ha utilizado numerosas cepas de malware personalizado en el pasado. Específicamente durante los ataques de Solarwinds y en un ataque de phishing contra la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID).
Múltiples trucos para esconderse
Para obstaculizar los intentos de rastrear los ataques, Nobelium utiliza direcciones IP residenciales (proxies), TOR, VPS (servicios privados virtuales) y VPN (redes privadas virtuales) para acceder al entorno de la víctima.
En algunos casos, Mandiant identificó sitios de WordPress comprometidos. Esto sitios se utilizan para alojar payloads de segunda etapa que Ceeloader recupera y lanza a la memoria.
Finalmente, los actores utilizaron sistemas legítimos alojados en Microsoft Azure con direcciones IP cercanas a la red de la víctima.
Este enfoque ayuda a combinar la actividad externa y el tráfico interno, lo que dificulta la detección de la actividad maliciosa y dificulta el análisis.
Nobelium sigue activo
Mandiant advierte que la actividad de Nobelium se centra en gran medida en la recopilación de inteligencia. Según los investigadores, la evidencia muestra que los hackers exfiltraron documentos que son de interés político para Rusia.
Microsoft ha vinculado previamente UNC2652 y UNC3004 a UNC2452, el grupo responsable del ataque a la cadena de suministro de SolarWinds. Por lo tanto, es plausible que todos estén bajo el mismo paraguas de “Nobelium”.
Sin embargo, Mandiant subraya que no hay pruebas suficientes para atribuir esto con certeza.
Lo que importa para los defensores es que los hackers todavía aprovechan a terceros y proveedores confiables como los CSP para infiltrarse en valiosas redes objetivo. Esto significa que las organizaciones deben permanecer atentas, considerar constantemente nuevos IOCs y mantener sus sistemas actualizados.
Mandiant ha actualizado el documento técnico UNC2452 en ese frente con todos los nuevos TTP observados en las campañas de 2021.