Il gruppo Nobelium, accusato da Microsoft di avere orchestrato l'attacco alla supply chain di Solar Winds, starebbe usando un nuovo malware personalizzato soprannominato Ceeloader. La nomenclatura è stata scelta dagli analisti di Mandiant, che stanno monitorando da tempo le attività del gruppo per scoprirne tattiche, tecniche e procedure (TTP).

Noto anche con i nomi di APT29, The Dukes o Cozy Bear, questo gruppo è ritenuto dagli esperti occidentali colluso con il Servizio di intelligence russo, ed è in attività da molto tempo. Fra le sue peculiarità note c'è l'impiego di malware e strumenti personalizzati, di cui si trova traccia nelle attività svolte. Fra questi è stato scoperto di recente Ceeloader, impiegato per attaccare fornitori di servizi cloud e di servizi gestiti (MSP).

Si tratta di una downloader personalizzato scritto in linguaggio C, che supporta l'esecuzione di payload shellcode direttamente in memoria. Tale malware è fortemente offuscato, e mescola le chiamate all'API di Windows con grandi blocchi di codice spazzatura per eludere la detection da parte dei software di sicurezza.

Ceeloader comunica tramite HTTP e la risposta del server di comando e controllo viene decifrata utilizzando la crittografia AES-256 in modalità CBC. Ceeloader viene installato ed eseguito da un beacon Cobalt Strike a seconda della necessità, e non include un meccanismo di persistenza.

Supply chain attack

Quello che appare certo alla luce del monitoraggio di Mandiant è la spiccata attività di questo gruppo negli attacchi alle supply chain. Abbondano le violazioni contro i fornitori cloud e gli MSP, come tattica per ottenere l'accesso iniziale all'ambiente di rete dei clienti scelti come target.

I ricercatori spiegano che "in almeno un caso gli attaccanti hanno identificato e compromesso un account VPN locale e lo hanno sfruttato per eseguire ricognizioni e ottenere ulteriore accesso alle risorse interne dell'ambiente target, con conseguente compromissione degli account di dominio interni".

Da notare che spesso questo gruppo compromette più account all'interno di un unico ambiente, e li utilizza per funzioni separate, così da non mettere a rischio l'intera operazione in caso che la compromissione di uno degli account venga scoperta.

Gli attacchi inoltre vengono mascherati utilizzando indirizzi IP residenziali (proxy), TOR, VPS (Virtual Private Services) e VPN (Virtual Private Networks) per accedere all'ambiente della vittima. I payload vengono scaricati a volte da siti WordPress compromessi, saltuariamente da sistemi ospitati da Microsoft Azure con indirizzi IP vicini a quelli della rete target. Così facendo si fondono attività esterne e traffico interno, rendendo improbabile il rilevamento dell'attività dannosa e complicando l'analisi forense. Sul sito Mandiant sono elencati gli Indicatori di Compromissione finora noti e le tecniche MITRE ATT&CK osservate.

Due gruppi distinti

L'attività di monitoraggio ha inoltre portato Mandiant a suddividere Nobelium in due distinti gruppi, indicati con le sigle UNC3004 e UNC2652. In sostanza, Nobelium potrebbe essere composto da due gruppi di hacking distinti e cooperanti.

UNC2652 starebbe prendendo di mira entità diplomatiche con email di phishing che contengono allegati HTML con JavaScript dannoso, che rilasciano un launcher BEACON nel sistema target. UNC3004 concentrerebbe invece l'attività su Cloud Solution Provider e Managed Service Provider per ottenere l'accesso ai clienti downstream.