क्लाउडसॉर्सेर बैकडोर

ईस्टविंड नामक एक नया स्पीयर-फ़िशिंग अभियान रूसी सरकार और आईटी संगठनों को निशाना बना रहा है। यह अभियान कई तरह के बैकडोर और ट्रोजन प्रदान करता है।

यह हमला क्रम आम तौर पर RAR आर्काइव अटैचमेंट से शुरू होता है जिसमें एक Windows शॉर्टकट (LNK) फ़ाइल होती है। जब खोला जाता है, तो यह फ़ाइल कई क्रियाओं को ट्रिगर करती है जिसके परिणामस्वरूप अंततः मैलवेयर की तैनाती होती है, जिसमें ग्रेवअपाचा, क्लाउडसॉर्सर बैकडोर का एक अपडेटेड संस्करण और प्लगवाई नामक एक पहले से अज्ञात इम्प्लांट शामिल है। प्लगवाई को क्लाउडसॉर्सर बैकडोर के माध्यम से डाउनलोड किया जाता है, इसमें कमांड की एक विस्तृत श्रृंखला होती है, और यह तीन अलग-अलग प्रोटोकॉल का उपयोग करके कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार कर सकता है।

क्लाउडसॉर्सेर एक जटिल बैकडोर खतरा है

क्लाउडसॉर्सर एक उन्नत साइबर-जासूसी उपकरण है जिसे गुप्त निगरानी, डेटा संग्रह और Microsoft Graph, Yandex Cloud और Dropbox के माध्यम से निष्कासन के लिए डिज़ाइन किया गया है। यह क्लाउड संसाधनों को अपने C2 सर्वर के रूप में उपयोग करता है, API और प्रमाणीकरण टोकन के माध्यम से उनके साथ बातचीत करता है। शुरुआत में, यह GitHub को अपने प्राथमिक C2 सर्वर के रूप में उपयोग करता है।

लक्ष्य घुसपैठ की सटीक विधि अभी भी अस्पष्ट है। हालाँकि, एक बार पहुँच प्राप्त हो जाने पर, मैलवेयर एक C-आधारित पोर्टेबल निष्पादन योग्य बाइनरी तैनात करता है जो एक बैकडोर के रूप में कार्य करता है। यह बाइनरी C2 संचार आरंभ करता है या वैध प्रक्रियाओं में शेलकोड इंजेक्ट करता है, जैसे कि mspaint.exe, msiexec.exe, या स्ट्रिंग 'ब्राउज़र' वाली कोई भी प्रक्रिया।

क्लाउडसॉर्सेरर का परिष्कृत डिजाइन इसे निष्पादन प्रक्रिया के आधार पर अपने व्यवहार को अनुकूलित करने और विंडोज पाइप के माध्यम से जटिल अंतर-प्रक्रिया संचार का उपयोग करने की अनुमति देता है।

बैकडोर घटक को पीड़ित की मशीन के बारे में जानकारी एकत्र करने और फ़ाइलों और फ़ोल्डरों की गणना करने, शेल कमांड चलाने, फ़ाइल संचालन करने और अतिरिक्त पेलोड तैनात करने के निर्देशों को निष्पादित करने के लिए तैयार किया गया है।

C2 मॉड्यूल GitHub पेज से जुड़ता है जो डेड ड्रॉप रिज़ॉल्वर के रूप में कार्य करता है, एक एन्कोडेड हेक्स स्ट्रिंग प्राप्त करता है जो Microsoft Graph या Yandex Cloud पर वास्तविक सर्वर की ओर इशारा करता है। वैकल्पिक रूप से, CloudSorcerer hxxps://my.mail.ru/ से भी डेटा एक्सेस कर सकता है, जो एक रूसी क्लाउड-आधारित फोटो होस्टिंग सेवा है, जहाँ एल्बम नाम में वही हेक्स स्ट्रिंग होती है।

साइबर अपराधी अगले चरण के मैलवेयर को तैनात करने के लिए क्लाउडसॉर्सेर का उपयोग करते हैं

प्रारंभिक संक्रमण विधि में एक समझौता किया गया LNK फ़ाइल शामिल है जो एक धोखाधड़ी DLL को निष्पादित करने के लिए DLL साइड-लोडिंग तकनीकों का उपयोग करती है। यह DLL, टोही करने और अतिरिक्त पेलोड डाउनलोड करने के लिए ड्रॉपबॉक्स को संचार चैनल के रूप में उपयोग करता है।

तैनात मैलवेयर स्ट्रेन में से एक ग्रूअपाचा है, जो पहले चीन से जुड़े APT31 समूह से जुड़ा एक बैकडोर था। DLL साइड-लोडिंग के माध्यम से भी शुरू किया गया, यह एक हमलावर-नियंत्रित GitHub प्रोफ़ाइल का उपयोग डेड ड्रॉप रिज़ॉल्वर के रूप में करता है ताकि वास्तविक कमांड-एंड-कंट्रोल (C2) सर्वर की ओर इशारा करते हुए बेस64-एन्कोडेड स्ट्रिंग को संग्रहीत किया जा सके।

हमलों में देखा गया अन्य मैलवेयर परिवार PlugY है, जो एक पूर्ण विशेषताओं वाला बैकडोर है, जो TCP, UDP या नामित पाइपों का उपयोग करके प्रबंधन सर्वर से जुड़ता है और शेल कमांड निष्पादित करने, डिवाइस स्क्रीन की निगरानी करने, कीस्ट्रोक्स को लॉग करने और क्लिपबोर्ड सामग्री को कैप्चर करने की क्षमताओं के साथ आता है।

प्लगएक्स के स्रोत कोड विश्लेषण ने डीआरबीकंट्रोल (उर्फ क्लैम्बलिंग) नामक एक ज्ञात बैकडोर के साथ समानताएं उजागर कीं, जिसे एपीटी 27 और एपीटी 41 के रूप में ट्रैक किए गए चीन-नेक्सस खतरे के समूहों के लिए जिम्मेदार ठहराया गया है। ईस्टविंड अभियान के पीछे हमलावरों ने कमांड सर्वर जैसे कि गिटहब, ड्रॉपबॉक्स, क्वोरा, रूसी लाइवजर्न और यांडेक्स डिस्क जैसी लोकप्रिय नेटवर्क सेवाओं का इस्तेमाल किया।