CloudSorcerer Backdoor

Μια νέα εκστρατεία spear-phishing, που ονομάστηκε EastWind, στοχεύει τη ρωσική κυβέρνηση και οργανισμούς πληροφορικής. Η καμπάνια προσφέρει μια ποικιλία από backdoors και Trojans.

Αυτή η ακολουθία επίθεσης συνήθως ξεκινά με συνημμένα αρχειοθέτησης RAR που περιέχουν ένα αρχείο συντόμευσης των Windows (LNK). Όταν ανοίξει, αυτό το αρχείο ενεργοποιεί μια σειρά ενεργειών που τελικά καταλήγουν στην ανάπτυξη κακόβουλου λογισμικού, συμπεριλαμβανομένου του GrewApacha, μιας ενημερωμένης έκδοσης του backdoor του CloudSorcerer και ενός άγνωστου εμφυτεύματος που ονομάζεται PlugY. Το PlugY γίνεται λήψη μέσω της κερκόπορτας του CloudSorcerer, διαθέτει μια ευρεία γκάμα εντολών και μπορεί να επικοινωνήσει με τον διακομιστή Command-and-Control (C2) χρησιμοποιώντας τρία διαφορετικά πρωτόκολλα.

Το CloudSorcerer είναι μια σύνθετη απειλή στην παρασκηνιακή πόρτα

Το CloudSorcerer είναι ένα προηγμένο εργαλείο κυβερνοκατασκοπείας που έχει σχεδιαστεί για κρυφή παρακολούθηση, συλλογή δεδομένων και διείσδυση μέσω του Microsoft Graph, του Yandex Cloud και του Dropbox. Χρησιμοποιεί πόρους cloud ως διακομιστές C2, αλληλεπιδρώντας μαζί τους μέσω API και διακριτικών ελέγχου ταυτότητας. Αρχικά, χρησιμοποιεί το GitHub ως τον κύριο διακομιστή του C2.

Η ακριβής μέθοδος διείσδυσης στόχου παραμένει ασαφής. Ωστόσο, μόλις αποκτηθεί πρόσβαση, το κακόβουλο λογισμικό αναπτύσσει ένα φορητό εκτελέσιμο δυαδικό αρχείο που βασίζεται σε C που χρησιμεύει ως κερκόπορτα. Αυτό το δυαδικό αρχείο εκκινεί επικοινωνίες C2 ή εισάγει κώδικα κελύφους σε νόμιμες διεργασίες, όπως mspaint.exe, msiexec.exe ή οποιαδήποτε διαδικασία που περιέχει τη συμβολοσειρά "browser".

Ο εξελιγμένος σχεδιασμός του CloudSorcerer του επιτρέπει να προσαρμόζει τη συμπεριφορά του με βάση τη διαδικασία εκτέλεσης και να χρησιμοποιεί πολύπλοκη επικοινωνία μεταξύ των διεργασιών μέσω σωλήνων των Windows.

Το στοιχείο backdoor είναι προσαρμοσμένο ώστε να συλλέγει πληροφορίες σχετικά με το μηχάνημα του θύματος και να εκτελεί οδηγίες για την απαρίθμηση αρχείων και φακέλων, την εκτέλεση εντολών φλοιού, την εκτέλεση λειτουργιών αρχείων και την ανάπτυξη πρόσθετων ωφέλιμων φορτίων.

Η λειτουργική μονάδα C2 συνδέεται σε μια σελίδα GitHub που λειτουργεί ως αναλυτής νεκρών σταγόνων, ανακτώντας μια κωδικοποιημένη συμβολοσειρά εξαγωνισμού που οδηγεί στον πραγματικό διακομιστή στο Microsoft Graph ή στο Yandex Cloud. Εναλλακτικά, το CloudSorcerer μπορεί επίσης να έχει πρόσβαση σε δεδομένα από το hxxps://my.mail.ru/, μια ρωσική υπηρεσία φιλοξενίας φωτογραφιών που βασίζεται σε σύννεφο, όπου το όνομα του άλμπουμ περιέχει την ίδια δεκαεξαδική συμβολοσειρά.

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν το CloudSorcerer για να αναπτύξουν κακόβουλο λογισμικό επόμενου σταδίου

Η αρχική μέθοδος μόλυνσης περιλαμβάνει ένα παραβιασμένο αρχείο LNK που χρησιμοποιεί τεχνικές πλευρικής φόρτωσης DLL για την εκτέλεση ενός δόλιου DLL. Αυτό το DLL χρησιμοποιεί το Dropbox ως κανάλι επικοινωνίας για την εκτέλεση αναγνώρισης και τη λήψη πρόσθετων ωφέλιμων φορτίων.

Ένα από τα στελέχη κακόβουλου λογισμικού που έχουν αναπτυχθεί είναι το GrewApacha, μια κερκόπορτα που συνδέθηκε προηγουμένως με την ομάδα APT31 που συνδέεται με την Κίνα. Ξεκινά επίσης μέσω της πλευρικής φόρτωσης DLL, χρησιμοποιεί ένα προφίλ GitHub που ελέγχεται από εισβολέα ως εργαλείο επίλυσης νεκρών σταγόνων για την αποθήκευση μιας συμβολοσειράς με κωδικοποίηση Base64 που οδηγεί στον πραγματικό διακομιστή εντολών και ελέγχου (C2).

Η άλλη οικογένεια κακόβουλου λογισμικού που παρατηρείται στις επιθέσεις είναι το PlugY, μια πλήρως εξοπλισμένη κερκόπορτα που συνδέεται με έναν διακομιστή διαχείρισης χρησιμοποιώντας TCP, UDP ή επώνυμες αγωγές και διαθέτει δυνατότητες εκτέλεσης εντολών φλοιού, παρακολούθησης οθόνης συσκευής, πληκτρολόγησης καταγραφής και λήψης περιεχομένου του προχείρου .

Μια ανάλυση πηγαίου κώδικα του PlugX αποκάλυψε ομοιότητες με μια γνωστή κερκόπορτα που ονομάζεται DRBControl (γνωστή και ως Clambling), η οποία έχει αποδοθεί σε συστάδες απειλών China-nexus που παρακολουθούνται ως APT27 και APT41 . Οι εισβολείς πίσω από την εκστρατεία EastWind χρησιμοποίησαν δημοφιλείς υπηρεσίες δικτύου, όπως διακομιστές εντολών, όπως το GitHub, το Dropbox, το Quora, το Russian LiveJourna και το Yandex Disk.