Porta sul retro di CloudSorcerer
Una nuova campagna di spear-phishing, soprannominata EastWind, sta prendendo di mira il governo russo e le organizzazioni IT. La campagna distribuisce una varietà di backdoor e Trojan.
Questa sequenza di attacco inizia in genere con allegati di archivio RAR che contengono un file di collegamento di Windows (LNK). Quando viene aperto, questo file innesca una serie di azioni che alla fine determinano la distribuzione di malware, tra cui GrewApacha, una versione aggiornata della backdoor CloudSorcerer e un impianto precedentemente sconosciuto denominato PlugY. PlugY viene scaricato tramite la backdoor CloudSorcerer, presenta un'ampia gamma di comandi e può comunicare con il server Command-and-Control (C2) utilizzando tre protocolli diversi.
CloudSorcerer è una minaccia backdoor complessa
CloudSorcerer è uno strumento avanzato di cyber-spionaggio progettato per il monitoraggio segreto, la raccolta dati e l'esfiltrazione tramite Microsoft Graph, Yandex Cloud e Dropbox. Utilizza risorse cloud come server C2, interagendo con esse tramite API e token di autenticazione. Inizialmente, utilizza GitHub come server C2 primario.
Il metodo esatto di infiltrazione del target rimane poco chiaro. Tuttavia, una volta ottenuto l'accesso, il malware distribuisce un binario eseguibile portatile basato su C che funge da backdoor. Questo binario avvia comunicazioni C2 o inietta shellcode in processi legittimi, come mspaint.exe, msiexec.exe o qualsiasi processo contenente la stringa 'browser'.
Il design sofisticato di CloudSorcerer consente di adattare il proprio comportamento in base al processo in esecuzione e di utilizzare complesse comunicazioni tra processi tramite i pipe di Windows.
Il componente backdoor è studiato appositamente per raccogliere informazioni sul computer della vittima ed eseguire istruzioni per enumerare file e cartelle, eseguire comandi shell, effettuare operazioni sui file e distribuire payload aggiuntivi.
Il modulo C2 si collega a una pagina GitHub che funziona come un dead drop resolver, recuperando una stringa esadecimale codificata che punta al server effettivo su Microsoft Graph o Yandex Cloud. In alternativa, CloudSorcerer può anche accedere ai dati da hxxps://my.mail.ru/, un servizio di hosting di foto basato su cloud russo, in cui il nome dell'album contiene la stessa stringa esadecimale.
I criminali informatici utilizzano CloudSorcerer per distribuire malware di fase successiva
Il metodo di infezione iniziale prevede un file LNK compromesso che utilizza tecniche di caricamento laterale DLL per eseguire una DLL fraudolenta. Questa DLL utilizza Dropbox come canale di comunicazione per eseguire la ricognizione e scaricare payload aggiuntivi.
Uno dei ceppi di malware distribuiti è GrewApacha, una backdoor precedentemente associata al gruppo APT31 legato alla Cina. Avviata anch'essa tramite caricamento laterale DLL, utilizza un profilo GitHub controllato dall'attaccante come un dead drop resolver per archiviare una stringa codificata in Base64 che punta al server di comando e controllo (C2) effettivo.
L'altra famiglia di malware osservata negli attacchi è PlugY, una backdoor completa che si connette a un server di gestione tramite TCP, UDP o pipe denominate ed è dotata di funzionalità per eseguire comandi shell, monitorare lo schermo del dispositivo, registrare le sequenze di tasti e acquisire il contenuto degli appunti.
Un'analisi del codice sorgente di PlugX ha scoperto delle somiglianze con una backdoor nota chiamata DRBControl (alias Clambling), che è stata attribuita ai cluster di minacce China-nexus tracciati come APT27 e APT41 . Gli aggressori dietro la campagna EastWind hanno utilizzato servizi di rete popolari come server di comando, come GitHub, Dropbox, Quora, Russian LiveJourna e Yandex Disk.
