CloudSorcerer Backdoor

Uusi keihäs-phishing-kampanja, nimeltään EastWind, on suunnattu Venäjän hallitukselle ja IT-organisaatioille. Kampanja tarjoaa erilaisia takaovia ja troijalaisia.

Tämä hyökkäyssarja alkaa yleensä RAR-arkistoliitteillä, jotka sisältävät Windowsin pikakuvaketiedoston (LNK). Kun tämä tiedosto avataan, se käynnistää joukon toimintoja, jotka lopulta johtavat haittaohjelmien käyttöönottoon, mukaan lukien GrewApacha, päivitetty versio CloudSorcerer-takaovesta ja aiemmin tuntematon PlugY-niminen implantti. PlugY ladataan CloudSorcerer-takaoven kautta, siinä on laaja valikoima komentoja ja se voi kommunikoida Command-and-Control (C2) -palvelimen kanssa käyttämällä kolmea eri protokollaa.

CloudSorcerer on monimutkainen takaoven uhka

CloudSorcerer on edistynyt kybervakoilutyökalu, joka on suunniteltu salaiseen seurantaan, tietojen keräämiseen ja suodattamiseen Microsoft Graphin, Yandex Cloudin ja Dropboxin kautta. Se käyttää pilviresursseja C2-palvelimina ja on vuorovaikutuksessa niiden kanssa API:iden ja todennustunnisteiden kautta. Aluksi se käyttää GitHubia ensisijaisena C2-palvelimena.

Kohteen tunkeutumisen tarkka menetelmä on edelleen epäselvä. Kuitenkin, kun käyttöoikeus on saatu, haittaohjelma ottaa käyttöön C-pohjaisen kannettavan suoritettavan binaarin, joka toimii takaovena. Tämä binaari aloittaa C2-viestinnän tai syöttää shellkoodin laillisiin prosesseihin, kuten mspaint.exe, msiexec.exe tai mihin tahansa prosessiin, joka sisältää merkkijonon "selain".

CloudSorcererin hienostunut suunnittelu mahdollistaa sen, että se mukauttaa käyttäytymistään suoritusprosessin perusteella ja käyttää monimutkaista prosessien välistä viestintää Windows-putkien kautta.

Takaovikomponentti on räätälöity keräämään tietoja uhrin koneesta ja suorittamaan ohjeita tiedostojen ja kansioiden luetteloimiseksi, komentotulkkikomentojen suorittamiseksi, tiedostojen suorittamiseksi ja lisähyötykuormien käyttöönottamiseksi.

C2-moduuli muodostaa yhteyden GitHub-sivulle, joka toimii dead drop -selvittäjänä ja hakee koodatun hex-merkkijonon, joka osoittaa todelliseen palvelimeen Microsoft Graphissa tai Yandex Cloudissa. Vaihtoehtoisesti CloudSorcerer voi myös käyttää tietoja venäläisestä pilvipohjaisesta valokuvien isännöintipalvelusta hxxps://my.mail.ru/, jossa albumin nimi sisältää saman hex-merkkijonon.

Kyberrikolliset käyttävät CloudSorcereria seuraavan vaiheen haittaohjelmien käyttöönottoon

Alkuperäinen tartuntamenetelmä sisältää vaarantuneen LNK-tiedoston, joka käyttää DLL:n sivulataustekniikoita vilpillisen DLL:n suorittamiseen. Tämä DLL käyttää Dropboxia viestintäkanavana tiedusteluun ja lisähyötykuormien lataamiseen.

Yksi käyttöönotetuista haittaohjelmakannoista on GrewApacha, takaovi, joka on aiemmin liitetty Kiinaan liittyvään APT31- ryhmään. Se aloitettiin myös DLL-sivulatauksella, ja se käyttää hyökkääjän ohjaamaa GitHub-profiilia "dead drop" -ratkaisuna tallentaakseen Base64-koodatun merkkijonon, joka osoittaa varsinaiseen komento- ja ohjauspalvelimeen (C2).

Toinen hyökkäyksissä havaittu haittaohjelmaperhe on PlugY, täysin varusteltu takaovi, joka muodostaa yhteyden hallintapalvelimeen TCP:tä, UDP:tä tai nimettyjä putkia käyttäen ja joka sisältää ominaisuudet komentotulkkikomentojen suorittamiseen, laitteen näytön valvontaan, näppäinpainallusten kirjaamiseen ja leikepöydän sisällön kaappaamiseen. .

PlugX:n lähdekoodianalyysi paljasti yhtäläisyyksiä tunnetun DRBControl-nimisen takaoven (alias Clambling) kanssa, jonka on katsottu johtuvan China-nexus-uhkaklustereista, joita jäljitetään nimellä APT27 ja APT41 . EastWind-kampanjan takana olevat hyökkääjät käyttivät suosittuja verkkopalveluita, kuten komentopalvelimia, kuten GitHub, Dropbox, Quora, Russian LiveJourna ja Yandex Disk.