CloudSorcerer Backdoor

Nauja sukčiavimo kampanija, pavadinta EastWind, yra skirta Rusijos vyriausybei ir IT organizacijoms. Kampanija pristato daugybę užpakalinių durų ir Trojos arklių.

Ši atakų seka paprastai prasideda RAR archyvo priedais, kuriuose yra „Windows“ nuorodos (LNK) failas. Atidarius šį failą, suaktyvinama daugybė veiksmų, dėl kurių galiausiai bus įdiegta kenkėjiška programa, įskaitant „GrewApacha“, atnaujintą „CloudSorcerer“ užpakalinių durų versiją ir anksčiau nežinomą implantą, pavadintą PlugY. „PlugY“ atsisiunčiama per „CloudSorcerer“ užpakalines duris, turi platų komandų spektrą ir gali bendrauti su komandų ir valdymo (C2) serveriu naudodamas tris skirtingus protokolus.

„CloudSorcerer“ yra sudėtinga „backdoor“ grėsmė

„CloudSorcerer“ yra pažangus kibernetinio šnipinėjimo įrankis, skirtas slaptam stebėjimui, duomenų rinkimui ir išfiltravimui naudojant „Microsoft Graph“, „Yandex Cloud“ ir „Dropbox“. Jis naudoja debesies išteklius kaip savo C2 serverius, sąveikaudamas su jais per API ir autentifikavimo prieigos raktus. Iš pradžių jis naudoja GitHub kaip pagrindinį C2 serverį.

Tikslus taikinio infiltracijos metodas lieka neaiškus. Tačiau gavus prieigą, kenkėjiška programa diegia C pagrindu nešiojamą vykdomąjį dvejetainį failą, kuris veikia kaip užpakalinės durys. Šis dvejetainis failas inicijuoja C2 ryšius arba įveda apvalkalo kodą į teisėtus procesus, pvz., mspaint.exe, msiexec.exe arba bet kurį procesą, kuriame yra eilutė „naršyklė“.

Sudėtingas „CloudSorcerer“ dizainas leidžia pritaikyti savo elgesį pagal vykdymo procesą ir naudoti sudėtingą tarpprocesinį ryšį per „Windows“ vamzdžius.

Užpakalinių durų komponentas yra pritaikytas rinkti informaciją apie aukos mašiną ir vykdyti instrukcijas, skirtas išvardyti failus ir aplankus, vykdyti apvalkalo komandas, atlikti failų operacijas ir įdiegti papildomus naudingus krovinius.

C2 modulis prisijungia prie „GitHub“ puslapio, kuris veikia kaip „dead drop“ sprendiklis, nuskaitydamas užkoduotą šešioliktainę eilutę, nukreipiančią į tikrąjį „Microsoft Graph“ arba „Yandex Cloud“ serverį. Arba „CloudSorcerer“ taip pat gali pasiekti duomenis iš hxxps://my.mail.ru/, Rusijos debesyje pagrįstos nuotraukų prieglobos paslaugos, kur albumo pavadinime yra ta pati šešioliktainė eilutė.

Kibernetiniai nusikaltėliai naudoja „CloudSorcerer“, kad įdiegtų naujos pakopos kenkėjiškas programas

Pradinis užkrėtimo metodas apima pažeistą LNK failą, kuris naudoja DLL šoninio įkėlimo metodus, kad įvykdytų apgaulingą DLL. Šis DLL naudoja „Dropbox“ kaip ryšio kanalą, kad būtų galima atlikti žvalgybą ir atsisiųsti papildomus naudingus krovinius.

Viena iš įdiegtų kenkėjiškų programų yra GrewApacha, užpakalinės durys, anksčiau sietos su Kinija susijusia APT31 grupe. Taip pat inicijuojamas per DLL šoninį įkėlimą, jis naudoja užpuoliko valdomą „GitHub“ profilį kaip „negyvo kritimo“ sprendiklį, kad išsaugotų „Base64“ koduotą eilutę, nukreipiančią į tikrąjį komandų ir valdymo (C2) serverį.

Kita kenkėjiškų programų šeima, pastebėta per atakas, yra PlugY, pilnai aprūpintas užpakalinės durys, kurios jungiasi prie valdymo serverio naudojant TCP, UDP arba pavadintus vamzdžius ir turi galimybę vykdyti apvalkalo komandas, stebėti įrenginio ekraną, registruoti klavišų paspaudimus ir užfiksuoti mainų srities turinį. .

„PlugX“ šaltinio kodo analizė atskleidė panašumus su žinomomis užpakalinėmis durimis, vadinamomis DRBControl (dar žinomas kaip Clambling), kuri buvo priskirta Kinijos sąsajos grėsmių grupėms, stebimoms kaip APT27 ir APT41 . „EastWind“ kampanijos užpuolikai naudojo populiarias tinklo paslaugas, tokias kaip komandų serveriai, tokie kaip „GitHub“, „Dropbox“, „Quora“, „Russian LiveJourna“ ir „Yandex Disk“.