باب خلفي لبرنامج CloudSorcerer

تستهدف حملة تصيد جديدة، أطلق عليها اسم EastWind، الحكومة الروسية ومؤسسات تكنولوجيا المعلومات. وتوفر الحملة مجموعة متنوعة من البرامج الخبيثة وأحصنة طروادة.

تبدأ سلسلة الهجمات هذه عادةً بمرفقات أرشيف RAR تحتوي على ملف اختصار Windows (LNK). وعند فتح هذا الملف، يؤدي هذا إلى سلسلة من الإجراءات التي تؤدي في النهاية إلى نشر البرامج الضارة، بما في ذلك GrewApacha، وإصدار محدث من الباب الخلفي CloudSorcerer، وزرع غير معروف سابقًا يسمى PlugY. يتم تنزيل PlugY عبر الباب الخلفي CloudSorcerer، ويتميز بمجموعة واسعة من الأوامر، ويمكنه التواصل مع خادم Command-and-Control (C2) باستخدام ثلاثة بروتوكولات مختلفة.

CloudSorcerer هو تهديد خلفي معقد

CloudSorcerer هي أداة تجسس سيبراني متقدمة مصممة للمراقبة السرية وجمع البيانات واستخراجها من خلال Microsoft Graph وYandex Cloud وDropbox. وهي تستخدم موارد السحابة كخوادم C2، وتتفاعل معها عبر واجهات برمجة التطبيقات ورموز المصادقة. في البداية، تستخدم GitHub كخادم C2 أساسي.

لا تزال الطريقة الدقيقة لاختراق الهدف غير واضحة. ومع ذلك، بمجرد الوصول إلى البرنامج الخبيث، يقوم بنشر ملف ثنائي قابل للتنفيذ محمول يستند إلى لغة C ويعمل كبوابة خلفية. يقوم هذا الملف الثنائي ببدء اتصالات C2 أو حقن كود shellcode في عمليات مشروعة، مثل mspaint.exe أو msiexec.exe أو أي عملية تحتوي على السلسلة "browser".

يسمح التصميم المتطور لبرنامج CloudSorcerer بتكييف سلوكه استنادًا إلى عملية التنفيذ والاستفادة من الاتصالات المعقدة بين العمليات من خلال أنابيب Windows.

تم تصميم مكون الباب الخلفي لجمع المعلومات حول جهاز الضحية وتنفيذ التعليمات لإحصاء الملفات والمجلدات وتشغيل أوامر shell وإجراء عمليات الملفات ونشر الحمولات الإضافية.

تتصل وحدة C2 بصفحة GitHub التي تعمل كمحلل للنقاط الميتة، حيث تسترد سلسلة سداسية مشفرة تشير إلى الخادم الفعلي على Microsoft Graph أو Yandex Cloud. بدلاً من ذلك، قد يتمكن CloudSorcerer أيضًا من الوصول إلى البيانات من hxxps://my.mail.ru/، وهي خدمة استضافة صور روسية تعتمد على السحابة، حيث يحتوي اسم الألبوم على نفس السلسلة السداسية.

مجرمو الإنترنت يستخدمون CloudSorcerer لنشر البرامج الضارة في المرحلة التالية

تتضمن طريقة العدوى الأولية ملف LNK مخترق يستخدم تقنيات التحميل الجانبي لـ DLL لتشغيل ملف DLL احتيالي. يستخدم ملف DLL هذا Dropbox كقناة اتصال لإجراء الاستطلاع وتنزيل حمولات إضافية.

ومن بين سلالات البرمجيات الخبيثة المنتشرة GrewApacha، وهي عبارة عن باب خلفي مرتبط سابقًا بمجموعة APT31 المرتبطة بالصين. كما تم تشغيلها من خلال التحميل الجانبي لـ DLL، وتستخدم ملف تعريف GitHub الذي يتحكم فيه المهاجم كمحلل نقطة توقف لتخزين سلسلة مشفرة بتنسيق Base64 تشير إلى خادم الأوامر والتحكم الفعلي (C2).

عائلة البرمجيات الخبيثة الأخرى التي تم رصدها في الهجمات هي PlugY، وهو باب خلفي كامل الميزات يتصل بخادم إدارة باستخدام TCP أو UDP أو أنابيب مسماة ويأتي مع قدرات لتنفيذ أوامر shell ومراقبة شاشة الجهاز وتسجيل ضغطات المفاتيح والتقاط محتوى الحافظة.

كشف تحليل الكود المصدري لبرنامج PlugX عن أوجه تشابه مع برنامج خلفي معروف يسمى DRBControl (المعروف أيضًا باسم Clambling)، والذي يُنسب إلى مجموعات التهديدات المرتبطة بالصين والتي تم تتبعها باسم APT27 و APT41 . استخدم المهاجمون وراء حملة EastWind خدمات الشبكة الشائعة مثل خوادم الأوامر، مثل GitHub وDropbox وQuora وRussian LiveJourna وYandex Disk.