클라우드소서러 백도어

EastWind라는 새로운 스피어 피싱 캠페인이 러시아 정부와 IT 조직을 표적으로 삼고 있습니다. 이 캠페인은 다양한 백도어와 트로이 목마를 제공합니다.

이 공격 시퀀스는 일반적으로 Windows 바로가기(LNK) 파일이 포함된 RAR 아카이브 첨부 파일로 시작합니다. 이 파일을 열면 GrewApacha, CloudSorcerer 백도어의 업데이트된 버전, 그리고 PlugY라는 이전에 알려지지 않은 임플란트를 포함하여 궁극적으로 맬웨어 배포로 이어지는 일련의 동작이 트리거됩니다. PlugY는 CloudSorcerer 백도어를 통해 다운로드되고, 다양한 명령을 제공하며, 세 가지 다른 프로토콜을 사용하여 C2(Command-and-Control) 서버와 통신할 수 있습니다.

CloudSorcerer는 복잡한 백도어 위협입니다

CloudSorcerer는 Microsoft Graph, Yandex Cloud, Dropbox를 통한 은밀한 감시, 데이터 수집, 유출을 위해 설계된 고급 사이버 스파이 도구입니다. 클라우드 리소스를 C2 서버로 사용하여 API와 인증 토큰을 통해 상호 작용합니다. 처음에는 GitHub을 기본 C2 서버로 사용합니다.

정확한 대상 침투 방법은 아직 불분명합니다. 그러나 액세스가 확보되면 맬웨어는 백도어 역할을 하는 C 기반 휴대용 실행 파일 바이너리를 배포합니다. 이 바이너리는 C2 통신을 시작하거나 mspaint.exe, msiexec.exe 또는 'browser'라는 문자열이 포함된 프로세스와 같은 합법적인 프로세스에 셸코드를 주입합니다.

CloudSorcerer의 정교한 디자인 덕분에 실행 프로세스에 따라 동작을 조정하고 Windows 파이프를 통해 복잡한 프로세스 간 통신을 활용할 수 있습니다.

백도어 구성 요소는 피해자의 컴퓨터에 대한 정보를 수집하고 파일 및 폴더 열거, 셸 명령 실행, 파일 작업 수행, 추가 페이로드 배포에 대한 명령을 실행하도록 설계되었습니다.

C2 모듈은 데드 드롭 리졸버로 기능하는 GitHub 페이지에 연결하여 Microsoft Graph 또는 Yandex Cloud의 실제 서버를 가리키는 인코딩된 16진수 문자열을 검색합니다. 또는 CloudSorcerer는 러시아 클라우드 기반 사진 호스팅 서비스인 hxxps://my.mail.ru/에서 데이터에 액세스할 수도 있는데, 여기서 앨범 이름에는 동일한 16진수 문자열이 들어 있습니다.

사이버 범죄자들은 CloudSorcerer를 사용하여 차세대 맬웨어를 배포합니다.

초기 감염 방법은 DLL 사이드 로딩 기술을 사용하여 사기성 DLL을 실행하는 손상된 LNK 파일을 포함합니다. 이 DLL은 Dropbox를 통신 채널로 사용하여 정찰을 수행하고 추가 페이로드를 다운로드합니다.

배포된 맬웨어 변종 중 하나는 이전에 중국과 관련된 APT31 그룹과 관련이 있었던 백도어인 GrewApacha입니다. 또한 DLL 사이드 로딩을 통해 시작되며, 공격자가 제어하는 GitHub 프로필을 데드 드롭 리졸버로 사용하여 실제 명령 및 제어(C2) 서버를 가리키는 Base64 인코딩된 문자열을 저장합니다.

공격에서 관찰된 또 다른 맬웨어 계열은 PlugY입니다. 이것은 TCP, UDP 또는 명명된 파이프를 사용하여 관리 서버에 연결하고 셸 명령을 실행하고, 장치 화면을 모니터링하고, 키 입력을 기록하고, 클립보드 내용을 캡처하는 기능을 갖춘 모든 기능을 갖춘 백도어입니다.

PlugX의 소스 코드 분석에서 DRBControl(일명 Clambling)이라는 알려진 백도어와 유사점이 발견되었는데, 이는 APT27 및 APT41 로 추적된 중국 넥서스 위협 클러스터에 기인한 것으로 알려져 있습니다. EastWind 캠페인의 배후에 있는 공격자는 GitHub, Dropbox, Quora, Russian LiveJourna 및 Yandex Disk와 같은 명령 서버와 같은 인기 있는 네트워크 서비스를 사용했습니다.