CloudSorcerer Backdoor

Uus andmepüügikampaania, nimega EastWind, on suunatud Venemaa valitsuse ja IT-organisatsioonide vastu. Kampaania pakub mitmesuguseid tagauksi ja troojalasi.

See ründejada algab tavaliselt RAR-i arhiivimanustega, mis sisaldavad Windowsi otsetee (LNK) faili. Avamisel käivitab see fail rea toiminguid, mille tulemuseks on pahavara, sealhulgas GrewApacha, CloudSorcereri tagaukse värskendatud versioon ja varem tundmatu implantaat nimega PlugY, juurutamine. PlugY laaditakse alla CloudSorcereri tagaukse kaudu, sellel on lai valik käske ja see suudab suhelda käsu-ja juhtimise (C2) serveriga, kasutades kolme erinevat protokolli.

CloudSorcerer on keeruline tagaukse oht

CloudSorcerer on täiustatud küberspionaažitööriist, mis on loodud varjatud jälgimiseks, andmete kogumiseks ja väljafiltreerimiseks Microsoft Graphi, Yandex Cloudi ja Dropboxi kaudu. See kasutab pilveressursse oma C2-serveritena, suheldes nendega API-de ja autentimislubade kaudu. Algselt kasutab see oma peamise C2-serverina GitHubi.

Sihtmärgi infiltratsiooni täpne meetod jääb ebaselgeks. Kuid pärast juurdepääsu saamist juurutab pahavara C-põhise kaasaskantava käivitatava binaarfaili, mis toimib tagauksena. See binaar käivitab C2-suhtluse või sisestab shellkoodi seaduslikesse protsessidesse, nagu mspaint.exe, msiexec.exe või mis tahes protsessi, mis sisaldab stringi "brauser".

CloudSorcereri keerukas disain võimaldab tal kohandada oma käitumist täitmisprotsessi alusel ja kasutada keerulist protsessidevahelist suhtlust Windowsi torude kaudu.

Tagaukse komponent on kohandatud koguma teavet ohvri masina kohta ja täitma juhiseid failide ja kaustade loetlemiseks, shellikäskude käivitamiseks, failitoimingute tegemiseks ja täiendavate kasulike koormuste juurutamiseks.

C2 moodul loob ühenduse GitHubi lehega, mis toimib surnud languse lahendajana, hankides kodeeritud kuueteistkümnendstringi, mis osutab Microsoft Graphi või Yandex Cloudi tegelikule serverile. Alternatiivina võib CloudSorcerer juurde pääseda ka andmetele hxxps://my.mail.ru/, Venemaa pilvepõhise fotomajutusteenuse kaudu, kus albumi nimi sisaldab sama kuueteistkümnendstringi.

Küberkurjategijad kasutavad järgmise etapi pahavara juurutamiseks CloudSorcererit

Esialgne nakatumismeetod hõlmab rikutud LNK-faili, mis kasutab petturliku DLL-i käivitamiseks DLL-i külglaadimise tehnikaid. See DLL kasutab Dropboxi sidekanalina luure tegemiseks ja täiendavate kasulike koormuste allalaadimiseks.

Üks juurutatud pahavara tüvedest on GrewApacha, tagauks, mida varem seostati Hiinaga seotud APT31 grupiga. Samuti käivitatakse DLL-i külglaadimise kaudu ja see kasutab ründaja juhitavat GitHubi profiili surnud languse lahendajana, et salvestada Base64-kodeeringuga string, mis osutab tegelikule käsu- ja juhtimisserverile (C2).

Teine rünnetes täheldatud pahavaraperekond on PlugY, täisfunktsionaalne tagauks, mis ühendub haldusserveriga TCP, UDP või nimega torude abil ning millel on võimalused shellikäskude täitmiseks, seadme ekraani jälgimiseks, klahvivajutuste logimiseks ja lõikelaua sisu jäädvustamiseks. .

PlugX-i lähtekoodianalüüs avastas sarnasusi tuntud tagauksega nimega DRBControl (teise nimega Clambling), mis on omistatud Hiina-nexuse ohuklastritele, mida jälgitakse kui APT27 ja APT41 . EastWindi kampaania taga olevad ründajad kasutasid populaarseid võrguteenuseid, nagu käsuserverid, nagu GitHub, Dropbox, Quora, Russian LiveJourna ja Yandex Disk.