Pintu Belakang CloudSorcerer

Kempen pancingan lembing baharu, digelar EastWind, menyasarkan kerajaan Rusia dan organisasi IT. Kempen ini menyampaikan pelbagai pintu belakang dan Trojan.

Urutan serangan ini biasanya bermula dengan lampiran arkib RAR yang mengandungi fail pintasan Windows (LNK). Apabila dibuka, fail ini mencetuskan satu siri tindakan yang akhirnya mengakibatkan penggunaan perisian hasad, termasuk GrewApacha, versi terkini pintu belakang CloudSorcerer dan implan yang tidak diketahui sebelum ini bernama PlugY. PlugY dimuat turun melalui pintu belakang CloudSorcerer, menampilkan pelbagai perintah dan boleh berkomunikasi dengan pelayan Command-and-Control (C2) menggunakan tiga protokol berbeza.

CloudSorcerer ialah Ancaman Pintu Belakang Kompleks

CloudSorcerer ialah alat pengintipan siber termaju yang direka untuk pemantauan rahsia, pengumpulan data dan penyusutan melalui Microsoft Graph, Yandex Cloud dan Dropbox. Ia menggunakan sumber awan sebagai pelayan C2nya, berinteraksi dengan mereka melalui API dan token pengesahan. Pada mulanya, ia menggunakan GitHub sebagai pelayan C2 utamanya.

Kaedah tepat penyusupan sasaran masih tidak jelas. Walau bagaimanapun, sebaik sahaja akses diperoleh, perisian hasad menggunakan binari boleh laku mudah alih berasaskan C yang berfungsi sebagai pintu belakang. Perduaan ini memulakan komunikasi C2 atau menyuntik shellcode ke dalam proses yang sah, seperti mspaint.exe, msiexec.exe atau sebarang proses yang mengandungi rentetan 'pelayar.'

Reka bentuk canggih CloudSorcerer membolehkannya menyesuaikan tingkah lakunya berdasarkan proses pelaksanaan dan menggunakan komunikasi antara proses yang kompleks melalui paip Windows.

Komponen pintu belakang disesuaikan untuk mengumpulkan maklumat tentang mesin mangsa dan melaksanakan arahan untuk menghitung fail dan folder, menjalankan perintah shell, melaksanakan operasi fail dan menggunakan muatan tambahan.

Modul C2 bersambung ke halaman GitHub yang berfungsi sebagai penyelesai mati, mendapatkan semula rentetan hex yang dikodkan yang menghala ke pelayan sebenar pada Microsoft Graph atau Yandex Cloud. Sebagai alternatif, CloudSorcerer juga boleh mengakses data daripada hxxps://my.mail.ru/, perkhidmatan pengehosan foto berasaskan awan Rusia, di mana nama album mengandungi rentetan hex yang sama.

Penjenayah Siber Menggunakan CloudSorcerer untuk Menggunakan Perisian Hasad Peringkat Seterusnya

Kaedah jangkitan awal melibatkan fail LNK yang terjejas yang menggunakan teknik pemuatan sisi DLL untuk melaksanakan DLL penipuan. DLL ini menggunakan Dropbox sebagai saluran komunikasi untuk melakukan peninjauan dan memuat turun muatan tambahan.

Salah satu jenis perisian hasad yang digunakan ialah GrewApacha, pintu belakang yang sebelum ini dikaitkan dengan kumpulan APT31 yang berkaitan dengan China. Juga dimulakan melalui pemuatan sisi DLL, ia menggunakan profil GitHub yang dikawal oleh penyerang sebagai penyelesai mati untuk menyimpan rentetan berkod Base64 yang menghala ke pelayan arahan dan kawalan (C2) sebenar.

Keluarga perisian hasad lain yang diperhatikan dalam serangan itu ialah PlugY, pintu belakang berciri penuh yang bersambung ke pelayan pengurusan menggunakan TCP, UDP atau paip bernama dan dilengkapi dengan keupayaan untuk melaksanakan perintah shell, memantau skrin peranti, log ketukan kekunci dan menangkap kandungan papan keratan. .

Analisis kod sumber PlugX menemui persamaan dengan pintu belakang yang dikenali sebagai DRBControl (aka Clambling), yang telah dikaitkan dengan kelompok ancaman China-nexus yang dijejaki sebagai APT27 dan APT41 . Penyerang di sebalik kempen EastWind menggunakan perkhidmatan rangkaian popular seperti pelayan arahan, seperti GitHub, Dropbox, Quora, Russian LiveJourna dan Yandex Disk.