Porta del darrere de CloudSorcerer
Una nova campanya de pesca de pesca, anomenada EastWind, està dirigida al govern rus i a les organitzacions de TI. La campanya ofereix una varietat de portes posteriors i troians.
Aquesta seqüència d'atac normalment comença amb fitxers adjunts d'arxiu RAR que contenen un fitxer de drecera de Windows (LNK). Quan s'obre, aquest fitxer desencadena una sèrie d'accions que finalment donen lloc al desplegament de programari maliciós, inclòs GrewApacha, una versió actualitzada de la porta del darrere de CloudSorcerer i un implant abans desconegut anomenat PlugY. PlugY es descarrega a través de la porta del darrere de CloudSorcerer, inclou una àmplia gamma d'ordres i es pot comunicar amb el servidor Command-and-Control (C2) mitjançant tres protocols diferents.
CloudSorcerer és una amenaça complexa de la porta posterior
CloudSorcerer és una eina avançada de ciberespionatge dissenyada per a la supervisió encoberta, la recollida de dades i l'exfiltració mitjançant Microsoft Graph, Yandex Cloud i Dropbox. Utilitza recursos del núvol com a servidors C2, interactuant amb ells mitjançant API i fitxes d'autenticació. Inicialment, utilitza GitHub com a servidor C2 principal.
El mètode exacte d'infiltració de l'objectiu encara no està clar. Tanmateix, un cop obtingut l'accés, el programari maliciós desplega un binari executable portàtil basat en C que serveix com a porta posterior. Aquest binari inicia comunicacions C2 o injecta codi shell en processos legítims, com ara mspaint.exe, msiexec.exe o qualsevol procés que contingui la cadena "navegador".
El disseny sofisticat de CloudSorcerer li permet adaptar el seu comportament en funció del procés d'execució i utilitzar una comunicació complexa entre processos a través de canonades de Windows.
El component de la porta posterior està dissenyat per recopilar informació sobre la màquina de la víctima i executar instruccions per enumerar fitxers i carpetes, executar ordres de l'intèrpret d'ordres, realitzar operacions de fitxers i desplegar càrregues útils addicionals.
El mòdul C2 es connecta a una pàgina de GitHub que funciona com a solucionador de gota morta, recuperant una cadena hexadecimal codificada que apunta al servidor real de Microsoft Graph o Yandex Cloud. Alternativament, CloudSorcerer també pot accedir a dades de hxxps://my.mail.ru/, un servei d'allotjament de fotos basat en núvol rus, on el nom de l'àlbum conté la mateixa cadena hexadecimal.
Els cibercriminals utilitzen CloudSorcerer per desplegar programari maliciós de la següent etapa
El mètode d'infecció inicial implica un fitxer LNK compromès que utilitza tècniques de càrrega lateral de DLL per executar una DLL fraudulenta. Aquesta DLL utilitza Dropbox com a canal de comunicació per realitzar reconeixements i descarregar càrregues útils addicionals.
Una de les varietats de programari maliciós desplegades és GrewApacha, una porta posterior associada anteriorment al grup APT31 vinculat a la Xina. També s'ha iniciat mitjançant la càrrega lateral de DLL, utilitza un perfil GitHub controlat per l'atacant com a solucionador de gota morta per emmagatzemar una cadena codificada en Base64 que apunta al servidor d'ordres i control (C2) real.
L'altra família de programari maliciós observada en els atacs és PlugY, una porta posterior amb totes les funcions que es connecta a un servidor de gestió mitjançant TCP, UDP o canonades amb nom i inclou capacitats per executar ordres d'intèrpret d'ordres, supervisar la pantalla del dispositiu, registrar les pulsacions de tecla i capturar contingut del porta-retalls. .
Una anàlisi del codi font de PlugX va descobrir similituds amb una porta del darrere coneguda anomenada DRBControl (també conegut com Clambling), que s'ha atribuït a grups d'amenaces de la Xina-nexus rastrejats com APT27 i APT41 . Els atacants darrere de la campanya EastWind van utilitzar serveis de xarxa populars, com ara servidors d'ordres, com GitHub, Dropbox, Quora, Russian LiveJourna i Yandex Disk.
