Tylne wejście CloudSorcerer

Nowa kampania spear-phishing, nazwana EastWind, jest skierowana na rosyjski rząd i organizacje IT. Kampania dostarcza różnorodne backdoory i trojany.

Ta sekwencja ataku zwykle zaczyna się od załączników archiwum RAR zawierających plik skrótu Windows (LNK). Po otwarciu plik ten uruchamia serię działań, które ostatecznie skutkują wdrożeniem złośliwego oprogramowania, w tym GrewApacha, zaktualizowanej wersji backdoora CloudSorcerer i wcześniej nieznanego implantu o nazwie PlugY. PlugY jest pobierany za pośrednictwem backdoora CloudSorcerer, zawiera szeroką gamę poleceń i może komunikować się z serwerem Command-and-Control (C2) za pomocą trzech różnych protokołów.

CloudSorcerer to złożone zagrożenie typu backdoor

CloudSorcerer to zaawansowane narzędzie cybernetycznego szpiegostwa przeznaczone do tajnego monitorowania, gromadzenia danych i eksfiltracji za pośrednictwem Microsoft Graph, Yandex Cloud i Dropbox. Wykorzystuje zasoby chmury jako swoje serwery C2, wchodząc z nimi w interakcję za pośrednictwem interfejsów API i tokenów uwierzytelniania. Początkowo wykorzystuje GitHub jako swój główny serwer C2.

Dokładna metoda infiltracji celu pozostaje niejasna. Jednak po uzyskaniu dostępu złośliwe oprogramowanie wdraża przenośny plik wykonywalny oparty na C, który służy jako tylne wejście. Ten plik binarny inicjuje komunikację C2 lub wstrzykuje kod powłoki do legalnych procesów, takich jak mspaint.exe, msiexec.exe lub dowolny proces zawierający ciąg „browser”.

Zaawansowana konstrukcja CloudSorcerer pozwala mu dostosowywać swoje zachowanie na podstawie wykonywanego procesu i wykorzystywać złożoną komunikację międzyprocesową poprzez kanały systemu Windows.

Komponent tylnego wejścia jest dostosowany do zbierania informacji o komputerze ofiary i wykonywania instrukcji w celu wyliczenia plików i folderów, uruchamiania poleceń powłoki, wykonywania operacji na plikach i wdrażania dodatkowych ładunków.

Moduł C2 łączy się ze stroną GitHub, która działa jako rozwiązywacz dead drop, pobierając zakodowany ciąg szesnastkowy, który wskazuje na rzeczywisty serwer w Microsoft Graph lub Yandex Cloud. Alternatywnie, CloudSorcerer może również uzyskać dostęp do danych z hxxps://my.mail.ru/, rosyjskiej usługi hostingu zdjęć w chmurze, gdzie nazwa albumu zawiera ten sam ciąg szesnastkowy.

Cyberprzestępcy wykorzystują CloudSorcerer do wdrażania złośliwego oprogramowania nowej generacji

Początkowa metoda infekcji obejmuje zainfekowany plik LNK, który wykorzystuje techniki bocznego ładowania DLL do wykonania fałszywego pliku DLL. Ten plik DLL wykorzystuje Dropbox jako kanał komunikacyjny do przeprowadzania rozpoznania i pobierania dodatkowych ładunków.

Jednym z wdrożonych szczepów złośliwego oprogramowania jest GrewApacha, backdoor wcześniej powiązany z grupą APT31 powiązaną z Chinami. Również zainicjowany poprzez boczne ładowanie DLL, używa kontrolowanego przez atakującego profilu GitHub jako rozwiązywacza dead drop do przechowywania zakodowanego ciągu Base64 wskazującego na rzeczywisty serwer poleceń i kontroli (C2).

Inną rodziną złośliwego oprogramowania zaobserwowaną w tych atakach jest PlugY, czyli w pełni funkcjonalny backdoor, który łączy się z serwerem zarządzającym za pomocą protokołu TCP, UDP lub nazwanych potoków i umożliwia wykonywanie poleceń powłoki, monitorowanie ekranu urządzenia, rejestrowanie naciśnięć klawiszy i przechwytywanie zawartości schowka.

Analiza kodu źródłowego PlugX ujawniła podobieństwa do znanego backdoora o nazwie DRBControl (znanego również jako Clambling), który został przypisany do klastrów zagrożeń China-nexus śledzonych jako APT27 i APT41 . Atakujący stojący za kampanią EastWind korzystali z popularnych usług sieciowych, takich jak serwery poleceń, takie jak GitHub, Dropbox, Quora, rosyjski LiveJourna i Yandex Disk.