CloudSorcerer-achterdeur

Een nieuwe spear-phishingcampagne, genaamd EastWind, richt zich op de Russische overheid en IT-organisaties. De campagne levert een verscheidenheid aan backdoors en Trojans.

Deze aanvalsreeks begint doorgaans met RAR-archiefbijlagen die een Windows-snelkoppelingsbestand (LNK) bevatten. Wanneer dit bestand wordt geopend, activeert het een reeks acties die uiteindelijk resulteren in de implementatie van malware, waaronder GrewApacha, een bijgewerkte versie van de CloudSorcerer-backdoor en een voorheen onbekend implantaat met de naam PlugY. PlugY wordt gedownload via de CloudSorcerer-backdoor, bevat een breed scala aan opdrachten en kan communiceren met de Command-and-Control (C2)-server met behulp van drie verschillende protocollen.

CloudSorcerer is een complexe backdoor-bedreiging

CloudSorcerer is een geavanceerde cyber-espionagetool die is ontworpen voor geheime monitoring, dataverzameling en exfiltratie via Microsoft Graph, Yandex Cloud en Dropbox. Het gebruikt cloudresources als C2-servers en communiceert ermee via API's en authenticatietokens. In eerste instantie gebruikt het GitHub als primaire C2-server.

De exacte methode van doelwitinfiltratie blijft onduidelijk. Zodra er echter toegang is verkregen, implementeert de malware een C-gebaseerd draagbaar uitvoerbaar binair bestand dat als backdoor fungeert. Dit binaire bestand initieert C2-communicatie of injecteert shellcode in legitieme processen, zoals mspaint.exe, msiexec.exe of elk proces dat de string 'browser' bevat.

Dankzij het geavanceerde ontwerp van CloudSorcerer kan het zijn gedrag aanpassen op basis van het uitvoerende proces en gebruikmaken van complexe communicatie tussen processen via Windows-pijplijnen.

Het backdoor-component is ontworpen om informatie te verzamelen over de computer van het slachtoffer en instructies uit te voeren om bestanden en mappen te inventariseren, shell-opdrachten uit te voeren, bestandsbewerkingen uit te voeren en aanvullende payloads te implementeren.

De C2-module maakt verbinding met een GitHub-pagina die functioneert als een dead drop resolver, die een gecodeerde hex-string ophaalt die naar de daadwerkelijke server op Microsoft Graph of Yandex Cloud wijst. Als alternatief kan CloudSorcerer ook toegang krijgen tot gegevens van hxxps://my.mail.ru/, een Russische cloudgebaseerde fotohostingservice, waarbij de albumnaam dezelfde hex-string bevat.

Cybercriminelen gebruiken CloudSorcerer om next-stage malware te implementeren

De eerste infectiemethode omvat een gecompromitteerd LNK-bestand dat DLL-sideloadingtechnieken gebruikt om een frauduleuze DLL uit te voeren. Deze DLL gebruikt Dropbox als communicatiekanaal om verkenning uit te voeren en extra payloads te downloaden.

Een van de ingezette malware-stammen is GrewApacha, een backdoor die eerder werd geassocieerd met de aan China gelinkte APT31- groep. Ook geïnitieerd via DLL-sideloading, gebruikt het een door de aanvaller aangestuurd GitHub-profiel als een dead drop resolver om een Base64-gecodeerde string op te slaan die verwijst naar de daadwerkelijke command-and-control (C2)-server.

De andere malwarefamilie die bij de aanvallen werd waargenomen, is PlugY, een backdoor met alle functies die verbinding maakt met een beheerserver via TCP, UDP of named pipes en die de mogelijkheid biedt om shell-opdrachten uit te voeren, het scherm van het apparaat te bewaken, toetsaanslagen te registreren en de inhoud van het klembord vast te leggen.

Een broncodeanalyse van PlugX onthulde overeenkomsten met een bekende backdoor genaamd DRBControl (ook bekend als Clambling), die is toegeschreven aan China-nexus-bedreigingsclusters die worden gevolgd als APT27 en APT41 . De aanvallers achter de EastWind-campagne gebruikten populaire netwerkservices zoals commandoservers, zoals GitHub, Dropbox, Quora, Russian LiveJourna en de Yandex Disk.