Backdoor на CloudSorcerer

Нова фишинг кампания, наречена EastWind, е насочена към руското правителство и ИТ организации. Кампанията предоставя разнообразие от задни врати и троянски коне.

Тази последователност от атаки обикновено започва с RAR архивни прикачени файлове, които съдържат Windows пряк път (LNK) файл. Когато се отвори, този файл задейства поредица от действия, които в крайна сметка водят до внедряването на зловреден софтуер, включително GrewApacha, актуализирана версия на задната врата на CloudSorcerer и неизвестен досега имплант на име PlugY. PlugY се изтегля чрез задната врата на CloudSorcerer, разполага с широк набор от команди и може да комуникира със сървъра за командване и управление (C2), използвайки три различни протокола.

CloudSorcerer е сложна заплаха от задната врата

CloudSorcerer е усъвършенстван инструмент за кибершпионаж, предназначен за тайно наблюдение, събиране на данни и ексфилтрация чрез Microsoft Graph, Yandex Cloud и Dropbox. Той използва облачни ресурси като свои C2 сървъри, взаимодействайки с тях чрез API и токени за удостоверяване. Първоначално той използва GitHub като основен C2 сървър.

Точният метод за целево проникване остава неясен. Въпреки това, след като се получи достъп, зловредният софтуер внедрява базиран на C преносим изпълним двоичен файл, който служи като задна врата. Този двоичен файл инициира C2 комуникации или инжектира shellcode в законни процеси, като mspaint.exe, msiexec.exe или всеки процес, съдържащ низа „браузър“.

Усъвършенстваният дизайн на CloudSorcerer му позволява да адаптира поведението си въз основа на процеса на изпълнение и да използва сложна комуникация между процесите чрез канали на Windows.

Компонентът за задната врата е пригоден да събира информация за машината на жертвата и да изпълнява инструкции за изброяване на файлове и папки, изпълнение на команди на обвивката, извършване на файлови операции и внедряване на допълнителни полезни натоварвания.

Модулът C2 се свързва към страница на GitHub, която функционира като преобразувател на мъртва точка, извличайки кодиран шестнадесетичен низ, който сочи към действителния сървър на Microsoft Graph или Yandex Cloud. Като алтернатива, CloudSorcerer може също да има достъп до данни от hxxps://my.mail.ru/, руска облачна услуга за хостинг на снимки, където името на албума съдържа същия шестнадесетичен низ.

Киберпрестъпниците използват CloudSorcerer за внедряване на следващ етап на злонамерен софтуер

Първоначалният метод на заразяване включва компрометиран LNK файл, който използва техники за странично зареждане на DLL, за да изпълни измамна DLL. Този DLL използва Dropbox като комуникационен канал за извършване на разузнаване и изтегляне на допълнителни полезни товари.

Един от внедрените щамове на злонамерен софтуер е GrewApacha, задна вратичка, свързана преди това със свързаната с Китай група APT31 . Също иницииран чрез странично зареждане на DLL, той използва GitHub профил, контролиран от нападателя, като резолвер за мъртъв спад, за да съхрани низ, кодиран с Base64, сочещ към действителния команден и контролен (C2) сървър.

Другото семейство зловреден софтуер, наблюдавано при атаките, е PlugY, напълно функционална задна вратичка, която се свързва към сървър за управление, използвайки TCP, UDP или наименувани канали и идва с възможности за изпълнение на команди на обвивката, наблюдение на екрана на устройството, регистриране на натискания на клавиши и улавяне на съдържание от клипборда .

Анализ на изходния код на PlugX разкри прилики с известна задна врата, наречена DRBControl (известна още като Clambling), която се приписва на клъстери на заплахи от China-nexus, проследени като APT27 и APT41 . Нападателите зад кампанията EastWind са използвали популярни мрежови услуги като командни сървъри, като GitHub, Dropbox, Quora, руски LiveJourna и Yandex Disk.