CloudSorcerer Bagdør

En ny spyd-phishing-kampagne, kaldet EastWind, er rettet mod den russiske regering og it-organisationer. Kampagnen leverer en række bagdøre og trojanske heste.

Denne angrebssekvens begynder typisk med RAR-arkivvedhæftede filer, der indeholder en Windows-genvejsfil (LNK). Når den åbnes, udløser denne fil en række handlinger, der i sidste ende resulterer i udrulning af malware, inklusive GrewApacha, en opdateret version af CloudSorcerer-bagdøren og et hidtil ukendt implantat ved navn PlugY. PlugY downloades via CloudSorcerer-bagdøren, har en bred vifte af kommandoer og kan kommunikere med Command-and-Control (C2)-serveren ved hjælp af tre forskellige protokoller.

CloudSorcerer er en kompleks bagdørstrussel

CloudSorcerer er et avanceret cyberspionageværktøj designet til skjult overvågning, dataindsamling og eksfiltrering gennem Microsoft Graph, Yandex Cloud og Dropbox. Det bruger cloud-ressourcer som sine C2-servere og interagerer med dem via API'er og autentificeringstokens. I første omgang bruger den GitHub som sin primære C2-server.

Den nøjagtige metode til målinfiltration er stadig uklar. Men når først adgang er opnået, implementerer malwaren en C-baseret bærbar eksekverbar binær, der fungerer som en bagdør. Denne binære initierer C2-kommunikation eller injicerer shellcode i legitime processer, såsom mspaint.exe, msiexec.exe eller enhver proces, der indeholder strengen 'browser'.

CloudSorcerers sofistikerede design gør det muligt for den at tilpasse sin adfærd baseret på eksekveringsprocessen og udnytte kompleks kommunikation mellem processer gennem Windows-pipes.

Bagdørskomponenten er skræddersyet til at indsamle information om ofrets maskine og udføre instruktioner til at opregne filer og mapper, køre shell-kommandoer, udføre filhandlinger og implementere yderligere nyttelast.

C2-modulet forbinder til en GitHub-side, der fungerer som en dead drop-resolver, og henter en kodet hex-streng, der peger på den faktiske server på Microsoft Graph eller Yandex Cloud. Alternativt kan CloudSorcerer også få adgang til data fra hxxps://my.mail.ru/, en russisk cloud-baseret fotohostingtjeneste, hvor albumnavnet indeholder den samme hex-streng.

Cyberkriminelle bruger CloudSorcerer til at implementere Next-Stage Malware

Den indledende infektionsmetode involverer en kompromitteret LNK-fil, der bruger DLL-sideindlæsningsteknikker til at udføre en svigagtig DLL. Denne DLL bruger Dropbox som en kommunikationskanal til at udføre rekognoscering og downloade yderligere nyttelast.

En af de installerede malware-stammer er GrewApacha, en bagdør, der tidligere var forbundet med den Kina-tilknyttede APT31- gruppe. Også initieret gennem DLL side-loading, bruger den en angriber-styret GitHub-profil som en dead drop-resolver til at gemme en Base64-kodet streng, der peger på den faktiske kommando-og-kontrol (C2) server.

Den anden malware-familie, der blev observeret i angrebene, er PlugY, en fuldt udstyret bagdør, der forbinder til en administrationsserver ved hjælp af TCP, UDP eller navngivne pipes og kommer med kapaciteter til at udføre shell-kommandoer, overvåge enhedsskærm, logge tastetryk og fange udklipsholderindhold .

En kildekodeanalyse af PlugX afslørede ligheder med en kendt bagdør kaldet DRBControl (aka Clambling), som er blevet tilskrevet Kina-nexus trusselklynger sporet som APT27 og APT41 . Angriberne bag EastWind-kampagnen brugte populære netværkstjenester såsom kommandoservere, såsom GitHub, Dropbox, Quora, Russian LiveJourna og Yandex Disk.