CloudSorcerer דלת אחורית

מסע דיוג חדש, המכונה EastWind, מכוון לממשלת רוסיה ולארגוני IT. הקמפיין מספק מגוון של דלתות אחוריות וסוסים טרויאניים.

רצף תקיפה זה מתחיל בדרך כלל עם קבצים מצורפים לארכיון RAR המכילים קובץ קיצור של Windows (LNK). כאשר הוא נפתח, קובץ זה מפעיל סדרה של פעולות שבסופו של דבר מביאות לפריסה של תוכנות זדוניות, כולל GrewApacha, גרסה מעודכנת של הדלת האחורית של CloudSorcerer ושתל לא ידוע בעבר בשם PlugY. הורד את PlugY דרך הדלת האחורית של CloudSorcerer, כולל מגוון רחב של פקודות ויכול לתקשר עם שרת הפקודה והבקרה (C2) באמצעות שלושה פרוטוקולים שונים.

CloudSorcerer הוא איום מורכב מדלת אחורית

CloudSorcerer הוא כלי מתקדם לריגול סייבר המיועד לניטור סמוי, איסוף נתונים וסינון באמצעות Microsoft Graph, Yandex Cloud ו-Dropbox. היא משתמשת במשאבי ענן כשרתי C2 שלה, ומקיימת איתם אינטראקציה באמצעות ממשקי API ואסימוני אימות. בתחילה, הוא משתמש ב-GitHub כשרת ה-C2 העיקרי שלה.

השיטה המדויקת לחדירת מטרה נותרה לא ברורה. עם זאת, לאחר השגת גישה, התוכנה הזדונית פורסת בינארי הפעלה נייד מבוסס C המשמש כדלת אחורית. בינארי זה יוזם תקשורת C2 או מחדיר קוד מעטפת לתהליכים לגיטימיים, כגון mspaint.exe, msiexec.exe, או כל תהליך המכיל את המחרוזת 'דפדפן'.

העיצוב המתוחכם של CloudSorcerer מאפשר לה להתאים את התנהגותו בהתבסס על תהליך הביצוע ולנצל תקשורת בין תהליכים מורכבת דרך צינורות Windows.

רכיב הדלת האחורית מותאם לאיסוף מידע על המחשב של הקורבן ולבצע הוראות למנות קבצים ותיקיות, להפעיל פקודות מעטפת, לבצע פעולות קבצים ולפרוס מטענים נוספים.

מודול C2 מתחבר לדף GitHub שמתפקד כפותר נפילות מתות, מאחזר מחרוזת hex מקודדת שמפנה לשרת בפועל ב-Microsoft Graph או Yandex Cloud. לחלופין, CloudSorcerer עשויה לגשת לנתונים גם מ-hxxps://my.mail.ru/, שירות אירוח תמונות מבוסס ענן רוסי, שבו שם האלבום מכיל את אותה מחרוזת hex.

פושעי סייבר משתמשים ב-CloudSorcerer כדי לפרוס תוכנה זדונית בשלב הבא

שיטת ההדבקה הראשונית כוללת קובץ LNK שנפרץ המשתמש בטכניקות טעינת צד של DLL כדי לבצע DLL מזויף. DLL זה משתמש ב-Dropbox כערוץ תקשורת לביצוע סיור ולהורדת מטענים נוספים.

אחד מזני התוכנות הזדוניות שנפרסו הוא GrewApacha, דלת אחורית הקשורה בעבר לקבוצת APT31 המקושרת לסין. כמו כן, הוא יוזם באמצעות טעינת צד של DLL, הוא משתמש בפרופיל GitHub הנשלט על ידי תוקף בתור פותר טיפות מתות כדי לאחסן מחרוזת מקודדת Base64 המצביעה על שרת הפקודה והבקרה (C2) בפועל.

משפחת התוכנות הזדוניות האחרות שנצפתה בהתקפות היא PlugY, דלת אחורית בעלת מאפיינים מלאים שמתחברת לשרת ניהול באמצעות TCP, UDP או צינורות בעלי שם ומגיעה עם יכולות לביצוע פקודות מעטפת, ניטור מסך המכשיר, רישום הקשות ולכידת תוכן הלוח. .

ניתוח קוד מקור של PlugX חשף קווי דמיון עם דלת אחורית ידועה בשם DRBControl (הידועה גם בשם Clambling), אשר יוחסה לאשכולות איומים הקשורים לסין, שנרשמו כ- APT27 ו- APT41 . התוקפים מאחורי מסע הפרסום של EastWind השתמשו בשירותי רשת פופולריים כמו שרתי פקודה, כמו GitHub, Dropbox, Quora, Russian LiveJourna ו-Yandex Disk.