CloudSorcerer Backdoor

Uma nova campanha de spear-phishing, chamada EastWind, etem como alvo o governo russo e organizações de TI. A campanha entrega uma variedade de backdoors e trojans.

Essa sequência de ataque normalmente começa com anexos de arquivo RAR que contêm um arquivo de atalho do Windows (LNK). Quando aberto, esse arquivo aciona uma série de ações que, em última análise, resultam na implantação de malware, incluindo GrewApacha, uma versão atualizada do backdoor do CloudSorcerer e um implante previamente desconhecido chamado PlugY. O PlugY é baixado por meio do backdoor do CloudSorcerer, apresenta uma ampla gama de comandos e pode se comunicar com o servidor Command-and-Control (C2) usando três protocolos diferentes.

O CloudSorcerer é uma Complexa Ameaça de Backdoor

O CloudSorcerer é uma ferramenta avançada de ciberespionagem projetada para monitoramento secreto, coleta de dados e exfiltração por meio do Microsoft Graph, Yandex Cloud e Dropbox. Ele usa recursos de nuvem como seus servidores C2, interagindo com eles por meio de APIs e tokens de autenticação. Inicialmente, ele emprega o GitHub como seu servidor C2 primário.

O método exato de infiltração do alvo permanece obscuro. No entanto, uma vez que o acesso é obtido, o malware implanta um binário executável portátil baseado em C que serve como um backdoor. Este binário inicia comunicações C2 ou injeta shellcode em processos legítimos, como mspaint.exe, msiexec.exe ou qualquer processo que contenha a string 'browser'.

O design sofisticado do CloudSorcerer permite que ele adapte seu comportamento com base no processo em execução e utilize comunicação complexa entre processos por meio de pipes do Windows.

O componente backdoor é personalizado para coletar informações sobre a máquina da vítima e executar instruções para enumerar arquivos e pastas, executar comandos de shell, realizar operações de arquivo e implantar cargas úteis adicionais.

O módulo C2 se conecta a uma página do GitHub que funciona como um resolver de dead drop, recuperando uma string hexadecimal codificada que aponta para o servidor real no Microsoft Graph ou Yandex Cloud. Como alternativa, o CloudSorcerer também pode acessar dados de hxxps://my.mail.ru/, um serviço russo de hospedagem de fotos baseado em nuvem, onde o nome do álbum contém a mesma string hexadecimal.

Os Cibercriminosos Usam o CloudSorcerer para Implantar um Next-Stage Malware 

O método de infecção inicial envolve um arquivo LNK comprometido que usa técnicas de side-loading de DLL para executar uma DLL fraudulenta. Esta DLL utiliza o Dropbox como um canal de comunicação para executar reconhecimento e baixar payloads adicionais.

Uma das cepas de malware implantadas é GrewApacha, um backdoor anteriormente associado ao grupo APT31 vinculado à China. Também iniciado por meio de side-loading de DLL, ele usa um perfil do GitHub controlado pelo invasor como um resolvedor de dead drop para armazenar uma string codificada em Base64 apontando para o servidor de comando e controle (C2) real.

A outra família de malware observada nos ataques é o PlugY, um backdoor completo que se conecta a um servidor de gerenciamento usando TCP, UDP ou pipes nomeados e vem com capacidades para executar comandos de shell, monitorar a tela do dispositivo, registrar pressionamentos de tecla e capturar conteúdo da área de transferência.

Uma análise do código-fonte do PlugX revelou similaridades com um backdoor conhecido chamado DRBControl (também conhecido como Clambling), que foi atribuído a clusters de ameaças China-nexus rastreados como APT27 e APT41 . Os invasores por trás da campanha EastWind usaram serviços de rede populares, como servidores de comando, como GitHub, Dropbox, Quora, Russian LiveJourna e Yandex Disk.