CloudSorcerer Backdoor

យុទ្ធនាការបន្លំលំពែងថ្មីមួយដែលមានឈ្មោះថា EastWind កំពុងផ្តោតលើរដ្ឋាភិបាលរុស្ស៊ី និងអង្គការព័ត៌មានវិទ្យា។ យុទ្ធនាការនេះផ្តល់នូវភាពខុសគ្នានៃ backdoors និង Trojan ។

លំដាប់នៃការវាយប្រហារនេះជាធម្មតាចាប់ផ្តើមជាមួយនឹងឯកសារភ្ជាប់ RAR ដែលមានផ្ទុកឯកសារផ្លូវកាត់វីនដូ (LNK) ។ នៅពេលបើក ឯកសារនេះបង្កឡើងនូវសកម្មភាពជាបន្តបន្ទាប់ដែលនាំឱ្យមានការចែកចាយមេរោគ រួមទាំង GrewApacha ដែលជាកំណែអាប់ដេតនៃ CloudSorcerer backdoor និងឧបករណ៍បង្កប់ដែលមិនស្គាល់ពីមុនដែលមានឈ្មោះថា PlugY ។ PlugY ត្រូវបានទាញយកតាមរយៈ CloudSorcerer backdoor មានលក្ខណៈពិសេសជាច្រើននៃពាក្យបញ្ជា ហើយអាចទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដោយប្រើពិធីការបីផ្សេងគ្នា។

CloudSorcerer គឺជាការគំរាមកំហែង Backdoor ដ៏ស្មុគស្មាញ

CloudSorcerer គឺជាឧបករណ៍ចារកម្មអ៊ីនធឺណេតកម្រិតខ្ពស់ដែលត្រូវបានរចនាឡើងសម្រាប់ការត្រួតពិនិត្យសម្ងាត់ ការប្រមូលទិន្នន័យ និងការបណ្តេញចេញតាមរយៈ Microsoft Graph, Yandex Cloud និង Dropbox ។ វាប្រើធនធានពពកជាម៉ាស៊ីនមេ C2 របស់វា ធ្វើអន្តរកម្មជាមួយពួកវាតាមរយៈ APIs និងសញ្ញាសម្គាល់ការផ្ទៀងផ្ទាត់។ ដំបូងឡើយ វាប្រើប្រាស់ GitHub ជាម៉ាស៊ីនមេ C2 ចម្បងរបស់វា។

វិធីសាស្រ្តពិតប្រាកដនៃការជ្រៀតចូលគោលដៅនៅតែមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែលការចូលប្រើត្រូវបានទទួល មេរោគនេះដាក់ពង្រាយប្រព័ន្ធគោលពីរដែលអាចប្រតិបត្តិបានចល័តដែលមានមូលដ្ឋានលើ C ដែលបម្រើជា backdoor ។ ប្រព័ន្ធគោលពីរនេះផ្តួចផ្តើមទំនាក់ទំនង C2 ឬបញ្ចូលសែលកូដទៅក្នុងដំណើរការស្របច្បាប់ ដូចជា mspaint.exe, msiexec.exe ឬដំណើរការណាមួយដែលមានខ្សែអក្សរ 'កម្មវិធីរុករក'។

ការរចនាដ៏ស្មុគ្រស្មាញរបស់ CloudSorcerer អនុញ្ញាតឱ្យវាសម្របឥរិយាបថរបស់វាដោយផ្អែកលើដំណើរការប្រតិបត្តិ និងប្រើប្រាស់ទំនាក់ទំនងអន្តរដំណើរការស្មុគស្មាញតាមរយៈបំពង់ Windows ។

សមាសធាតុ backdoor ត្រូវបានរៀបចំឡើងដើម្បីប្រមូលព័ត៌មានអំពីម៉ាស៊ីនរបស់ជនរងគ្រោះ និងប្រតិបត្តិការណែនាំដើម្បីរាប់បញ្ចូលឯកសារ និងថតឯកសារ ដំណើរការពាក្យបញ្ជាសែល អនុវត្តប្រតិបត្តិការឯកសារ និងដាក់ពង្រាយបន្ទុកបន្ថែម។

ម៉ូឌុល C2 ភ្ជាប់ទៅទំព័រ GitHub ដែលមានមុខងារជាអ្នកដោះស្រាយការធ្លាក់ចុះដែលស្លាប់ ដោយទាញយកខ្សែអក្សរ hex ដែលបានអ៊ិនកូដដែលចង្អុលទៅម៉ាស៊ីនមេពិតប្រាកដនៅលើ Microsoft Graph ឬ Yandex Cloud ។ ម៉្យាងទៀត CloudSorcerer ក៏អាចចូលប្រើទិន្នន័យពី hxxps://my.mail.ru/ ដែលជាសេវាកម្មបង្ហោះរូបថតដែលមានមូលដ្ឋានលើពពករបស់រុស្ស៊ី ដែលឈ្មោះអាល់ប៊ុមមានខ្សែអក្សរគោលប្រាំដូចគ្នា។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតប្រើ CloudSorcerer ដើម្បីដាក់ពង្រាយ Malware ដំណាក់កាលបន្ទាប់

វិធីសាស្ត្រឆ្លងដំបូងពាក់ព័ន្ធនឹងឯកសារ LNK ដែលត្រូវបានសម្របសម្រួលដែលប្រើបច្ចេកទេសផ្ទុកចំហៀងរបស់ DLL ដើម្បីប្រតិបត្តិ DLL ក្លែងបន្លំ។ DLL នេះប្រើប្រាស់ Dropbox ជាបណ្តាញទំនាក់ទំនងដើម្បីធ្វើការឈ្លបយកការណ៍ និងទាញយកបន្ទុកបន្ថែម។

មេរោគមួយក្នុងចំនោមមេរោគដែលដាក់ពង្រាយគឺ GrewApacha ដែលជា backdoor ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុម APT31 ដែលភ្ជាប់ជាមួយប្រទេសចិន។ ត្រូវបានផ្តួចផ្តើមតាមរយៈ DLL side-loading ផងដែរ វាប្រើទម្រង់ GitHub ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ជាអ្នកដោះស្រាយការទម្លាក់ស្លាប់ ដើម្បីរក្សាទុកខ្សែអក្សរដែលបានអ៊ិនកូដ Base64 ដែលចង្អុលទៅម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C2) ពិតប្រាកដ។

គ្រួសារមេរោគផ្សេងទៀតដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងការវាយប្រហារគឺ PlugY ដែលជា backdoor ដែលមានលក្ខណៈពិសេសពេញលេញដែលភ្ជាប់ទៅម៉ាស៊ីនមេគ្រប់គ្រងដោយប្រើ TCP, UDP ឬបំពង់ដែលមានឈ្មោះ ហើយភ្ជាប់មកជាមួយសមត្ថភាពដើម្បីប្រតិបត្តិពាក្យបញ្ជាសែល ត្រួតពិនិត្យអេក្រង់ឧបករណ៍ ការចុចគ្រាប់ចុចចូល និងចាប់យកមាតិកាក្ដារតម្បៀតខ្ទាស់។ .

ការវិភាគកូដប្រភពនៃ PlugX បានរកឃើញភាពស្រដៀងគ្នាជាមួយនឹង backdoor ដែលគេស្គាល់ថា DRBControl (aka Clambling) ដែលត្រូវបានកំណត់គុណលក្ខណៈទៅនឹងចង្កោមការគំរាមកំហែងរបស់ចិនដែលត្រូវបានតាមដានជា APT27 និង APT41 ។ អ្នកវាយប្រហារនៅពីក្រោយយុទ្ធនាការ EastWind បានប្រើប្រាស់សេវាកម្មបណ្តាញដ៏ពេញនិយមដូចជា server servers ដូចជា GitHub, Dropbox, Quora, Russian LiveJourna និង Yandex Disk ។