درپشتی CloudSorcerer

یک کمپین جدید فیشینگ نیزه ای با نام EastWind، دولت روسیه و سازمان های فناوری اطلاعات را هدف قرار داده است. این کمپین انواع درهای پشتی و تروجان ها را ارائه می دهد.

این توالی حمله معمولاً با پیوست های آرشیو RAR که حاوی یک فایل میانبر ویندوز (LNK) هستند شروع می شود. هنگامی که این فایل باز می شود، مجموعه ای از اقدامات را آغاز می کند که در نهایت منجر به استقرار بدافزار می شود، از جمله GrewApacha، نسخه به روز شده درب پشتی CloudSorcerer، و ایمپلنتی که قبلا ناشناخته به نام PlugY است. PlugY از طریق درب پشتی CloudSorcerer دانلود می شود، دارای مجموعه وسیعی از دستورات است و می تواند با استفاده از سه پروتکل مختلف با سرور Command-and-Control (C2) ارتباط برقرار کند.

CloudSorcerer یک تهدید پیچیده در پشتی است

CloudSorcerer یک ابزار جاسوسی سایبری پیشرفته است که برای نظارت مخفیانه، جمع‌آوری داده‌ها و استخراج از طریق Microsoft Graph، Yandex Cloud و Dropbox طراحی شده است. از منابع ابری به عنوان سرورهای C2 خود استفاده می کند و از طریق API ها و توکن های احراز هویت با آنها تعامل دارد. در ابتدا، از GitHub به عنوان سرور C2 اصلی خود استفاده می کند.

روش دقیق نفوذ هدف نامشخص است. با این حال، هنگامی که دسترسی به دست آمد، بدافزار یک باینری اجرایی قابل حمل مبتنی بر C را مستقر می کند که به عنوان یک درپشتی عمل می کند. این باینری ارتباطات C2 را آغاز می کند یا کد پوسته را به فرآیندهای قانونی تزریق می کند، مانند mspaint.exe، msiexec.exe، یا هر فرآیندی که حاوی رشته 'browser' باشد.

طراحی پیچیده CloudSorcerer به آن اجازه می دهد تا رفتار خود را بر اساس فرآیند اجرا تطبیق دهد و از ارتباطات پیچیده بین فرآیندی از طریق لوله های ویندوز استفاده کند.

مؤلفه درپشتی برای جمع‌آوری اطلاعات در مورد ماشین قربانی و اجرای دستورالعمل‌ها برای شمارش فایل‌ها و پوشه‌ها، اجرای دستورات پوسته، انجام عملیات فایل و استقرار بارهای اضافی طراحی شده است.

ماژول C2 به یک صفحه GitHub متصل می شود که به عنوان یک حل کننده قطره مرده عمل می کند و یک رشته هگز کدگذاری شده را بازیابی می کند که به سرور واقعی در Microsoft Graph یا Yandex Cloud اشاره می کند. از طرف دیگر، CloudSorcerer همچنین ممکن است به داده‌های hxxps://my.mail.ru/، یک سرویس میزبانی عکس مبتنی بر ابر روسی، دسترسی داشته باشد، جایی که نام آلبوم شامل همان رشته هگزاست.

مجرمان سایبری از CloudSorcerer برای استقرار بدافزار مرحله بعدی استفاده می کنند

روش آلودگی اولیه شامل یک فایل LNK در معرض خطر است که از تکنیک های بارگذاری جانبی DLL برای اجرای یک DLL جعلی استفاده می کند. این DLL از Dropbox به عنوان یک کانال ارتباطی برای انجام شناسایی و بارگیری بارهای اضافی استفاده می کند.

یکی از گونه‌های بدافزار مستقر شده GrewApacha است، یک درب پشتی که قبلاً با گروه APT31 مرتبط با چین مرتبط بود. همچنین از طریق بارگذاری جانبی DLL آغاز می شود، از یک نمایه GitHub کنترل شده توسط مهاجم به عنوان یک حل کننده افت مرده برای ذخیره یک رشته کدگذاری شده با Base64 که به سرور فرمان و کنترل واقعی (C2) اشاره می کند، استفاده می کند.

خانواده بدافزار دیگری که در این حملات مشاهده شد، PlugY است، یک درب پشتی با امکانات کامل که با استفاده از TCP، UDP یا لوله‌های نام‌گذاری شده به سرور مدیریت متصل می‌شود و دارای قابلیت‌هایی برای اجرای دستورات پوسته، نظارت بر صفحه دستگاه، ورود به صفحه کلید و ضبط محتوای کلیپ‌بورد است. .

تجزیه و تحلیل کد منبع PlugX شباهت‌هایی را با درب پشتی شناخته‌شده‌ای به نام DRBControl (معروف به Clambling) کشف کرد که به خوشه‌های تهدید China-nexus که به‌عنوان APT27 و APT41 ردیابی می‌شوند نسبت داده شده است. مهاجمان پشت کمپین EastWind از خدمات شبکه محبوب مانند سرورهای فرمان مانند GitHub، Dropbox، Quora، Russian LiveJourna و Yandex Disk استفاده کردند.