CloudSorcerer Backdoor

Jauna pikšķerēšanas kampaņa ar nosaukumu EastWind ir vērsta pret Krievijas valdību un IT organizācijām. Kampaņa nodrošina dažādas aizmugures durvis un Trojas zirgus.

Šī uzbrukuma secība parasti sākas ar RAR arhīva pielikumiem, kas satur Windows saīsnes (LNK) failu. Atverot šo failu, tiek aktivizēta virkne darbību, kuru rezultātā tiek izvietota ļaunprātīga programmatūra, tostarp GrewApacha, atjaunināta CloudSorcerer backdoor versija un iepriekš nezināms implants ar nosaukumu PlugY. PlugY tiek lejupielādēts, izmantojot CloudSorcerer aizmugures durvis, tajā ir plašs komandu klāsts, un tas var sazināties ar Command-and-Control (C2) serveri, izmantojot trīs dažādus protokolus.

CloudSorcerer ir sarežģīts aizmugures durvju drauds

CloudSorcerer ir uzlabots kiberspiegošanas rīks, kas paredzēts slēptai uzraudzībai, datu apkopošanai un izfiltrēšanai, izmantojot Microsoft Graph, Yandex Cloud un Dropbox. Tas izmanto mākoņa resursus kā savus C2 serverus, mijiedarbojoties ar tiem, izmantojot API un autentifikācijas pilnvaras. Sākotnēji tas izmanto GitHub kā primāro C2 serveri.

Precīza mērķa infiltrācijas metode joprojām nav skaidra. Tomēr, tiklīdz tiek iegūta piekļuve, ļaunprogrammatūra izvieto uz C balstītu pārnēsājamu izpildāmu bināru failu, kas kalpo kā aizmugures durvis. Šis binārs iniciē C2 sakarus vai ievada čaulas kodu likumīgos procesos, piemēram, mspaint.exe, msiexec.exe vai jebkurā procesā, kas satur virkni "pārlūkprogramma".

CloudSorcerer izsmalcinātais dizains ļauj pielāgot savu uzvedību, pamatojoties uz izpildes procesu, un izmantot sarežģītu starpprocesu saziņu, izmantojot Windows caurules.

Aizmugures durvju komponents ir pielāgots, lai apkopotu informāciju par upura iekārtu un izpildītu instrukcijas, lai uzskaitītu failus un mapes, palaistu čaulas komandas, veiktu failu darbības un izvietotu papildu kravas.

C2 modulis tiek savienots ar GitHub lapu, kas darbojas kā mirušo kritumu atrisinātājs, izgūstot kodētu hex virkni, kas norāda uz faktisko serveri Microsoft Graph vai Yandex Cloud. Alternatīvi, CloudSorcerer var piekļūt datiem no hxxps://my.mail.ru/ — Krievijas mākoņdatošanas fotoattēlu mitināšanas pakalpojuma, kurā albuma nosaukumā ir ietverta tā pati heksadesmtiskā virkne.

Kibernoziedznieki izmanto CloudSorcerer, lai izvietotu nākamās pakāpes ļaunprātīgu programmatūru

Sākotnējā inficēšanas metode ietver apdraudētu LNK failu, kas izmanto DLL sānu ielādes metodes, lai izpildītu krāpniecisku DLL. Šis DLL izmanto Dropbox kā saziņas kanālu, lai veiktu izlūkošanu un lejupielādētu papildu kravas.

Viens no izvietotajiem ļaunprātīgas programmatūras celmiem ir GrewApacha — aizmugures durvis, kas iepriekš bija saistītas ar Ķīnu saistīto APT31 grupu. Tas tiek uzsākts arī ar DLL sānu ielādi, un tas izmanto uzbrucēju kontrolētu GitHub profilu kā mirušo kritumu atrisinātāju, lai saglabātu Base64 kodētu virkni, kas norāda uz faktisko komandu un vadības (C2) serveri.

Cita uzbrukumos novērotā ļaunprogrammatūras saime ir PlugY — pilnībā aprīkota aizmugures durvis, kas savienojas ar pārvaldības serveri, izmantojot TCP, UDP vai nosauktas caurules, un ir aprīkotas ar iespējām izpildīt čaulas komandas, pārraudzīt ierīces ekrānu, reģistrēt taustiņsitienus un tvert starpliktuves saturu. .

PlugX avota koda analīze atklāja līdzības ar zināmo aizmugures durvīm, ko sauc par DRBControl (aka Clambling), kas tika attiecināta uz Ķīnas savienojuma draudu kopām, kas izsekots kā APT27 un APT41 . EastWind kampaņas uzbrucēji izmantoja populārus tīkla pakalpojumus, piemēram, komandu serverus, piemēram, GitHub, Dropbox, Quora, Russian LiveJourna un Yandex Disk.