CloudSorcerer Backdoor

Nová kampaň spear-phishing, nazvaná EastWind, se zaměřuje na ruskou vládu a IT organizace. Kampaň přináší různé zadní vrátka a trojské koně.

Tato sekvence útoků obvykle začíná přílohami archivů RAR, které obsahují soubor zástupce systému Windows (LNK). Po otevření tento soubor spustí řadu akcí, které nakonec vyústí v nasazení malwaru, včetně GrewApacha, aktualizované verze backdoor CloudSorcerer a dříve neznámého implantátu s názvem PlugY. PlugY se stahuje přes backdoor CloudSorcerer, nabízí širokou škálu příkazů a může komunikovat se serverem Command-and-Control (C2) pomocí tří různých protokolů.

CloudSorcerer je komplexní hrozba zadních vrátek

CloudSorcerer je pokročilý nástroj kybernetické špionáže určený pro skryté monitorování, sběr dat a exfiltraci prostřednictvím Microsoft Graph, Yandex Cloud a Dropbox. Využívá cloudové zdroje jako své servery C2 a komunikuje s nimi prostřednictvím rozhraní API a ověřovacích tokenů. Zpočátku používá GitHub jako svůj primární server C2.

Přesný způsob cílové infiltrace zůstává nejasný. Jakmile však získá přístup, malware nasadí přenosný spustitelný binární soubor na bázi C, který slouží jako zadní vrátka. Tento binární soubor zahájí komunikaci C2 nebo vloží shell kód do legitimních procesů, jako je mspaint.exe, msiexec.exe nebo jakýkoli proces obsahující řetězec 'browser'.

Sofistikovaný design CloudSorcerer umožňuje přizpůsobit své chování na základě prováděcího procesu a využívat komplexní meziprocesovou komunikaci prostřednictvím kanálů Windows.

Komponenta zadních vrátek je uzpůsobena tak, aby shromažďovala informace o počítači oběti a prováděla instrukce pro výčet souborů a složek, spouštěla příkazy shellu, prováděla operace se soubory a nasazovala další užitečné zatížení.

Modul C2 se připojuje ke stránce GitHub, která funguje jako překladač mrtvých kapek a získává zakódovaný hex řetězec, který ukazuje na skutečný server v Microsoft Graph nebo Yandex Cloud. Alternativně může CloudSorcerer také přistupovat k datům z hxxps://my.mail.ru/, ruské cloudové služby hostování fotografií, kde název alba obsahuje stejný hexadecimální řetězec.

Kyberzločinci používají CloudSorcerer k nasazení malwaru v další fázi

Metoda počáteční infekce zahrnuje kompromitovaný soubor LNK, který používá techniky bočního načítání DLL ke spuštění podvodné knihovny DLL. Tato knihovna DLL využívá Dropbox jako komunikační kanál k provádění průzkumu a stahování dalších dat.

Jedním z nasazených kmenů malwaru je GrewApacha, zadní vrátka dříve spojená se skupinou APT31 propojenou s Čínou. Také se spouští prostřednictvím načítání z DLL a používá profil GitHub řízený útočníkem jako překladač mrtvých kapek k uložení řetězce zakódovaného v Base64, který ukazuje na skutečný server příkazů a řízení (C2).

Další skupinou malwaru pozorovanou při útocích je PlugY, plně vybavená zadní vrátka, která se připojuje k serveru pro správu pomocí TCP, UDP nebo pojmenovaných kanálů a přichází s funkcemi pro spouštění příkazů shellu, sledování obrazovky zařízení, protokolování stisknutých kláves a zachycení obsahu schránky. .

Analýza zdrojového kódu PlugX odhalila podobnosti se známými zadními vrátky nazvanými DRBControl (aka Clambling), které byly připisovány clusterům hrozeb China-nexus sledovaným jako APT27 a APT41 . Útočníci za kampaní EastWind používali oblíbené síťové služby, jako jsou příkazové servery, jako je GitHub, Dropbox, Quora, Russian LiveJourna a Yandex Disk.