CloudSorcerer Bakdør

En ny spyd-phishing-kampanje, kalt EastWind, er rettet mot russiske myndigheter og IT-organisasjoner. Kampanjen leverer en rekke bakdører og trojanere.

Denne angrepssekvensen begynner vanligvis med RAR-arkivvedlegg som inneholder en Windows-snarveisfil (LNK). Når den åpnes, utløser denne filen en rekke handlinger som til slutt resulterer i distribusjon av skadelig programvare, inkludert GrewApacha, en oppdatert versjon av CloudSorcerer-bakdøren, og et tidligere ukjent implantat kalt PlugY. PlugY lastes ned via CloudSorcerer-bakdøren, har et bredt spekter av kommandoer og kan kommunisere med Command-and-Control (C2)-serveren ved hjelp av tre forskjellige protokoller.

CloudSorcerer er en kompleks bakdørstrussel

CloudSorcerer er et avansert cyberspionasjeverktøy designet for skjult overvåking, datainnsamling og eksfiltrering gjennom Microsoft Graph, Yandex Cloud og Dropbox. Den bruker skyressurser som C2-servere, og samhandler med dem via APIer og autentiseringstokener. I utgangspunktet bruker den GitHub som sin primære C2-server.

Den nøyaktige metoden for målinfiltrasjon er fortsatt uklar. Men når tilgang er oppnådd, distribuerer skadevare en C-basert bærbar kjørbar binærfil som fungerer som en bakdør. Denne binæren initierer C2-kommunikasjon eller injiserer shellcode i legitime prosesser, for eksempel mspaint.exe, msiexec.exe eller en hvilken som helst prosess som inneholder strengen 'nettleser'.

CloudSorcerers sofistikerte design gjør at den kan tilpasse oppførselen sin basert på utførelsesprosessen og utnytte kompleks kommunikasjon mellom prosesser gjennom Windows-rør.

Bakdørskomponenten er skreddersydd for å samle informasjon om offerets maskin og utføre instruksjoner for å telle opp filer og mapper, kjøre skallkommandoer, utføre filoperasjoner og distribuere ytterligere nyttelast.

C2-modulen kobles til en GitHub-side som fungerer som en døddråpeløser, og henter en kodet hex-streng som peker til den faktiske serveren på Microsoft Graph eller Yandex Cloud. Alternativt kan CloudSorcerer også få tilgang til data fra hxxps://my.mail.ru/, en russisk skybasert fotovertstjeneste, der albumnavnet inneholder den samme heksede strengen.

Nettkriminelle bruker CloudSorcerer til å distribuere neste trinns skadelig programvare

Den første infeksjonsmetoden involverer en kompromittert LNK-fil som bruker DLL-sidelastingsteknikker for å utføre en uredelig DLL. Denne DLL-filen bruker Dropbox som en kommunikasjonskanal for å utføre rekognosering og laste ned ekstra nyttelast.

En av de distribuerte skadevarestammene er GrewApacha, en bakdør som tidligere var knyttet til den Kina-tilknyttede APT31- gruppen. Også initiert gjennom DLL-sidelasting, bruker den en angriperkontrollert GitHub-profil som en døddråpeløser for å lagre en Base64-kodet streng som peker til den faktiske kommando-og-kontroll-serveren (C2).

Den andre skadevarefamilien som ble observert i angrepene er PlugY, en fullt utstyrt bakdør som kobles til en administrasjonsserver ved hjelp av TCP, UDP eller navngitte pipes og kommer med muligheter til å utføre skallkommandoer, overvåke enhetsskjerm, logge tastetrykk og fange utklippstavleinnhold .

En kildekodeanalyse av PlugX avdekket likheter med en kjent bakdør kalt DRBControl (aka Clambling), som har blitt tilskrevet Kina-nexus trusselklynger sporet som APT27 og APT41 . Angriperne bak EastWind-kampanjen brukte populære nettverkstjenester som kommandoservere, som GitHub, Dropbox, Quora, Russian LiveJourna og Yandex Disk.