CloudSorcerer ब्याकडोर
एउटा नयाँ भाला-फिसिङ अभियान, डब EastWind, रूसी सरकार र IT संस्थाहरूलाई लक्षित गर्दैछ। अभियानले विभिन्न प्रकारका ब्याकडोर र ट्रोजनहरू प्रदान गर्दछ।
यो आक्रमण अनुक्रम सामान्यतया RAR संग्रह संलग्नकहरूसँग सुरु हुन्छ जुन Windows सर्टकट (LNK) फाइल समावेश गर्दछ। जब खोलिन्छ, यो फाइलले कार्यहरूको एक श्रृंखला ट्रिगर गर्दछ जुन अन्ततः मालवेयरको परिनियोजनमा परिणत हुन्छ, जसमा GrewApacha, CloudSorcerer ब्याकडोरको अपडेट गरिएको संस्करण, र PlugY नामको पहिलेको अज्ञात इम्प्लान्ट समावेश छ। PlugY CloudSorcerer ब्याकडोर मार्फत डाउनलोड गरिएको छ, आदेशहरूको एक विस्तृत एरे फिचर गर्दछ, र तीन फरक प्रोटोकलहरू प्रयोग गरेर Command-and-Control (C2) सर्भरसँग सञ्चार गर्न सक्छ।
CloudSorcerer एक जटिल ब्याकडोर थ्रेट हो
CloudSorcerer माइक्रोसफ्ट ग्राफ, यान्डेक्स क्लाउड, र ड्रपबक्स मार्फत गुप्त निगरानी, डेटा सङ्कलन, र एक्सफिल्ट्रेसनको लागि डिजाइन गरिएको एक उन्नत साइबर-जासुसी उपकरण हो। यसले क्लाउड स्रोतहरू यसको C2 सर्भरहरूको रूपमा प्रयोग गर्दछ, तिनीहरूसँग API र प्रमाणीकरण टोकनहरू मार्फत अन्तरक्रिया गर्दै। सुरुमा, यसले GitHub लाई यसको प्राथमिक C2 सर्भरको रूपमा काम गर्दछ।
लक्षित घुसपैठको सही विधि अस्पष्ट रहन्छ। यद्यपि, एक पटक पहुँच प्राप्त भएपछि, मालवेयरले C-आधारित पोर्टेबल कार्यान्वयनयोग्य बाइनरी प्रयोग गर्दछ जुन ब्याकडोरको रूपमा कार्य गर्दछ। यो बाइनरीले C2 संचार सुरु गर्छ वा शेलकोडलाई वैध प्रक्रियाहरूमा इन्जेक्ट गर्छ, जस्तै mspaint.exe, msiexec.exe, वा स्ट्रिङ 'ब्राउजर' समावेश गर्ने कुनै पनि प्रक्रिया।
CloudSorcerer को परिष्कृत डिजाइनले यसलाई कार्यान्वयन प्रक्रियाको आधारमा यसको व्यवहार अनुकूलन गर्न र विन्डोज पाइपहरू मार्फत जटिल अन्तर-प्रक्रिया सञ्चार प्रयोग गर्न अनुमति दिन्छ।
ब्याकडोर कम्पोनेन्ट पीडितको मेसिनको बारेमा जानकारी सङ्कलन गर्न र फाइलहरू र फोल्डरहरू गणना गर्न, शेल आदेशहरू चलाउन, फाइल सञ्चालनहरू प्रदर्शन गर्न, र थप पेलोडहरू प्रयोग गर्न निर्देशनहरू कार्यान्वयन गर्न अनुकूल छ।
C2 मोड्युलले GitHub पृष्ठमा जडान गर्दछ जुन डेड ड्रप रिजोल्भरको रूपमा कार्य गर्दछ, एन्कोड गरिएको हेक्स स्ट्रिङ पुन: प्राप्त गर्दै जसले Microsoft ग्राफ वा यान्डेक्स क्लाउडमा वास्तविक सर्भरमा देखाउँछ। वैकल्पिक रूपमा, CloudSorcerer ले hxxps://my.mail.ru/, एक रूसी क्लाउड-आधारित फोटो होस्टिङ सेवा, जहाँ एल्बम नामले उही हेक्स स्ट्रिङ समावेश गर्दछ, बाट डेटा पहुँच गर्न सक्छ।
साइबर अपराधीहरूले नेक्स्ट-स्टेज मालवेयर डिप्लोय गर्न CloudSorcerer प्रयोग गर्छन्
प्रारम्भिक संक्रमण विधिले धोखाधडी DLL कार्यान्वयन गर्न DLL साइड-लोडिङ प्रविधिहरू प्रयोग गर्ने सम्झौता गरिएको LNK फाइल समावेश गर्दछ। यो DLL ले ड्रपबक्सलाई संचार च्यानलको रूपमा प्रयोग गर्दछ र थप पेलोडहरू डाउनलोड गर्नको लागि।
तैनाथ गरिएको मालवेयर स्ट्रेनहरू मध्ये एक हो GrewApacha, एक ब्याकडोर पहिले चीन-लिंक गरिएको APT31 समूहसँग सम्बन्धित थियो। DLL साइड-लोडिङ मार्फत पनि प्रारम्भ गरिएको, यसले वास्तविक कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा देखाउँदै Base64-इन्कोड गरिएको स्ट्रिङ भण्डारण गर्न डेड ड्रप रिजोल्भरको रूपमा आक्रमणकर्ता-नियन्त्रित GitHub प्रोफाइल प्रयोग गर्दछ।
आक्रमणहरूमा अवलोकन गरिएको अर्को मालवेयर परिवार PlugY हो, एक पूर्ण-विशेष ब्याकडोर जसले TCP, UDP, वा नामित पाइपहरू प्रयोग गरेर व्यवस्थापन सर्भरमा जडान गर्दछ र शेल आदेशहरू कार्यान्वयन गर्न, यन्त्र स्क्रिन, लग किस्ट्रोकहरू, र क्लिपबोर्ड सामग्री क्याप्चर गर्ने क्षमताहरूसँग आउँछ। ।
PlugX को स्रोत कोड विश्लेषणले DRBCcontrol (उर्फ क्लेम्बलिङ) भनिने ब्याकडोरसँग समानताहरू पत्ता लगाएको छ, जसलाई APT27 र APT41 को रूपमा ट्र्याक गरिएका चीन-नेक्सस खतरा क्लस्टरहरूलाई श्रेय दिइएको छ। EastWind अभियान पछि आक्रमणकारीहरूले लोकप्रिय नेटवर्क सेवाहरू जस्तै कमाण्ड सर्भरहरू, जस्तै GitHub, Dropbox, Quora, रूसी LiveJourna र Yandex डिस्क प्रयोग गरे।
