CloudSorcerer Backdoor

Az EastWind névre keresztelt új lándzsás adathalász kampány az orosz kormányt és informatikai szervezeteket célozza meg. A kampány különféle hátsó ajtókat és trójaiakat kínál.

Ez a támadássorozat általában a Windows parancsikon (LNK) fájlt tartalmazó RAR archív mellékletekkel kezdődik. Megnyitáskor ez a fájl egy sor műveletet indít el, amelyek végül rosszindulatú programok telepítését eredményezik, beleértve a GrewApacha-t, a CloudSorcerer hátsóajtó frissített verzióját és egy korábban ismeretlen PlugY nevű implantátumot. A PlugY a CloudSorcerer hátsó ajtón keresztül tölthető le, parancsok széles skáláját tartalmazza, és három különböző protokoll használatával kommunikálhat a Command-and-Control (C2) szerverrel.

A CloudSorcerer egy összetett hátsó ajtó fenyegetés

A CloudSorcerer egy fejlett számítógépes kémeszköz, amelyet titkos megfigyelésre, adatgyűjtésre és Microsoft Graphon, Yandex Cloudon és Dropboxon keresztüli kiszűrésre terveztek. Felhőerőforrásokat használ C2-kiszolgálóként, és API-kon és hitelesítési tokeneken keresztül kommunikál velük. Kezdetben a GitHubot használja elsődleges C2-kiszolgálóként.

A célinfiltráció pontos módszere továbbra is tisztázatlan. A hozzáférés megszerzése után azonban a rosszindulatú program egy C-alapú hordozható végrehajtható bináris fájlt telepít, amely hátsó ajtóként szolgál. Ez a bináris C2-kommunikációt kezdeményez, vagy shellkódot fecskendez be olyan legitim folyamatokba, mint például az mspaint.exe, msiexec.exe vagy bármely, a „böngésző” karakterláncot tartalmazó folyamatba.

A CloudSorcerer kifinomult kialakítása lehetővé teszi, hogy viselkedését a végrehajtási folyamaton alapulóan alkalmazkodja, és komplex folyamatok közötti kommunikációt használjon a Windows-csöveken keresztül.

A hátsó ajtó összetevőt úgy alakították ki, hogy információkat gyűjtsön az áldozat gépéről, és utasításokat hajtson végre a fájlok és mappák felsorolására, a shell-parancsok futtatására, fájlműveletek végrehajtására és további hasznos terhelések telepítésére.

A C2 modul egy GitHub oldalhoz csatlakozik, amely holtpont-feloldóként működik, és lekér egy kódolt hexadecimális karakterláncot, amely a Microsoft Graph vagy a Yandex Cloud tényleges szerverére mutat. Alternatív megoldásként a CloudSorcerer hozzáférhet az adatokhoz a hxxps://my.mail.ru/, egy orosz felhőalapú fotótárhelyről is, ahol az albumnév ugyanazt a hexadecimális karakterláncot tartalmazza.

A kiberbűnözők a CloudSorcerer segítségével telepítik a következő fázisú rosszindulatú programokat

A kezdeti fertőzési módszer egy olyan feltört LNK-fájlt foglal magában, amely DLL-oldali betöltési technikákat használ a hamis DLL végrehajtására. Ez a DLL a Dropboxot használja kommunikációs csatornaként a felderítés végrehajtásához és a további hasznos adatok letöltéséhez.

Az egyik telepített rosszindulatú program a GrewApacha, egy hátsó ajtó, amelyet korábban a Kínához kapcsolódó APT31 csoporthoz társítottak. Szintén a DLL oldalsó betöltésén keresztül kezdeményezett, és egy támadó által vezérelt GitHub-profilt használ holtpont-feloldóként egy Base64-kódolású karakterlánc tárolására, amely a tényleges parancs- és vezérlőkiszolgálóra (C2) mutat.

A másik, a támadásokban megfigyelt rosszindulatú programcsalád a PlugY, egy teljes funkcionalitású hátsó ajtó, amely TCP, UDP vagy nevesített csövek segítségével csatlakozik egy felügyeleti szerverhez, és képes shell-parancsok végrehajtására, az eszköz képernyőjének figyelésére, a billentyűleütések naplózására és a vágólap tartalmának rögzítésére. .

A PlugX forráskód-elemzése hasonlóságokat tárt fel a DRBControl (más néven Clambling) nevű háttérajtóval, amelyet az APT27 és APT41 néven nyomon követett China-nexus fenyegetésfürtöknek tulajdonítottak. Az EastWind kampány mögött álló támadók olyan népszerű hálózati szolgáltatásokat használtak, mint a parancskiszolgálók, mint például a GitHub, a Dropbox, a Quora, az orosz LiveJourna és a Yandex Disk.