CloudSorcerer Backdoor

Nova spear-phishing kampanja, nazvana EastWind, usmjerena je na rusku vladu i IT organizacije. Kampanja nudi niz backdoora i trojanaca.

Ova sekvenca napada obično počinje privitcima RAR arhive koji sadrže datoteku Windows prečaca (LNK). Kada se otvori, ova datoteka pokreće niz radnji koje u konačnici rezultiraju implementacijom zlonamjernog softvera, uključujući GrewApachu, ažuriranu verziju backdoor-a CloudSorcerer i dosad nepoznati implantat pod nazivom PlugY. PlugY se preuzima preko CloudSorcerer backdoor-a, ima široku lepezu naredbi i može komunicirati s Command-and-Control (C2) poslužiteljem pomoću tri različita protokola.

CloudSorcerer je složena backdoor prijetnja

CloudSorcerer je napredni alat za kibernetičku špijunažu dizajniran za tajno praćenje, prikupljanje podataka i eksfiltraciju putem Microsoft Grapha, Yandex Clouda i Dropboxa. Koristi resurse oblaka kao svoje C2 poslužitelje, komunicirajući s njima putem API-ja i autentifikacijskih tokena. U početku koristi GitHub kao primarni C2 poslužitelj.

Točna metoda ciljne infiltracije ostaje nejasna. Međutim, nakon što se dobije pristup, zlonamjerni softver postavlja prenosivi izvršni binarni program koji služi kao stražnja vrata. Ova binarna datoteka pokreće C2 komunikaciju ili ubacuje shellcode u legitimne procese, kao što su mspaint.exe, msiexec.exe ili bilo koji proces koji sadrži niz 'browser'.

Sofisticirani dizajn CloudSorcerera omogućuje prilagodbu ponašanja na temelju procesa izvršavanja i korištenje složene međuprocesne komunikacije kroz Windows cijevi.

Backdoor komponenta je skrojena za prikupljanje informacija o žrtvinom stroju i izvršavanje instrukcija za nabrajanje datoteka i mapa, pokretanje naredbi ljuske, izvođenje operacija s datotekama i postavljanje dodatnih korisnih opterećenja.

Modul C2 povezuje se s GitHub stranicom koja funkcionira kao razrješivač mrtvog pada, dohvaćajući kodirani heksadecimalni niz koji upućuje na stvarni poslužitelj na Microsoft Graphu ili Yandex Cloudu. Alternativno, CloudSorcerer također može pristupiti podacima s hxxps://my.mail.ru/, ruske usluge za hosting fotografija temeljene na oblaku, gdje naziv albuma sadrži isti heksadecimalni niz.

Cyberkriminalci koriste CloudSorcerer za implementaciju zlonamjernog softvera sljedeće faze

Metoda početne infekcije uključuje kompromitiranu LNK datoteku koja koristi tehnike bočnog učitavanja DLL-a za izvođenje lažnog DLL-a. Ovaj DLL koristi Dropbox kao komunikacijski kanal za obavljanje izviđanja i preuzimanje dodatnih sadržaja.

Jedan od razmještenih vrsta zlonamjernog softvera je GrewApacha, backdoor prethodno povezan s grupom APT31 povezanom s Kinom. Također pokrenut bočnim učitavanjem DLL-a, koristi GitHub profil kojim upravlja napadač kao razrješivač mrtvog pada za pohranjivanje Base64 kodiranog niza koji upućuje na stvarni poslužitelj za naredbe i kontrolu (C2).

Druga obitelj zlonamjernog softvera promatrana u napadima je PlugY, backdoor s punim značajkama koji se povezuje s poslužiteljem za upravljanje pomoću TCP-a, UDP-a ili imenovanih cijevi i dolazi s mogućnostima izvršavanja naredbi ljuske, nadzora zaslona uređaja, bilježenja pritisaka na tipke i snimanja sadržaja međuspremnika .

Analiza izvornog koda PlugX-a otkrila je sličnosti s poznatim backdoorom pod nazivom DRBControl (aka Clambling), koji se pripisuje klasterima prijetnji China-nexus praćenim kao APT27 i APT41 . Napadači koji stoje iza kampanje EastWind koristili su popularne mrežne servise poput naredbenih poslužitelja, kao što su GitHub, Dropbox, Quora, ruski LiveJourna i Yandex Disk.