CloudSorcerer Backdoor

O nouă campanie de spear-phishing, denumită EastWind, vizează guvernul rus și organizațiile IT. Campania oferă o varietate de uși din spate și troieni.

Această secvență de atac începe de obicei cu atașamente de arhivă RAR care conțin un fișier de comandă rapidă Windows (LNK). Când este deschis, acest fișier declanșează o serie de acțiuni care au ca rezultat implementarea de malware, inclusiv GrewApacha, o versiune actualizată a ușii din spate CloudSorcerer și un implant necunoscut anterior numit PlugY. PlugY este descărcat prin backdoor CloudSorcerer, are o gamă largă de comenzi și poate comunica cu serverul Command-and-Control (C2) folosind trei protocoale diferite.

CloudSorcerer este o amenințare complexă de tip Backdoor

CloudSorcerer este un instrument avansat de spionaj cibernetic conceput pentru monitorizarea sub acoperire, colectarea datelor și exfiltrarea prin Microsoft Graph, Yandex Cloud și Dropbox. Utilizează resursele cloud ca servere C2, interacționând cu acestea prin intermediul API-urilor și token-urilor de autentificare. Inițial, folosește GitHub ca server C2 principal.

Metoda exactă de infiltrare a țintei rămâne neclară. Cu toate acestea, odată ce accesul este obținut, malware-ul implementează un binar executabil portabil bazat pe C, care servește ca ușă în spate. Acest binar inițiază comunicațiile C2 sau injectează cod shell în procese legitime, cum ar fi mspaint.exe, msiexec.exe sau orice proces care conține șirul „browser”.

Designul sofisticat al CloudSorcerer îi permite să-și adapteze comportamentul pe baza procesului de execuție și să utilizeze comunicarea complexă între procese prin conductele Windows.

Componenta backdoor este adaptată pentru a colecta informații despre mașina victimei și pentru a executa instrucțiuni pentru a enumera fișiere și foldere, pentru a rula comenzi shell, pentru a efectua operațiuni cu fișiere și pentru a implementa încărcături suplimentare.

Modulul C2 se conectează la o pagină GitHub care funcționează ca un solutor de picături mort, regăsind un șir hexadecimal codificat care indică serverul real de pe Microsoft Graph sau Yandex Cloud. Alternativ, CloudSorcerer poate accesa și date de la hxxps://my.mail.ru/, un serviciu rus de găzduire foto bazat pe cloud, unde numele albumului conține același șir hexadecimal.

Criminalii cibernetici folosesc CloudSorcerer pentru a implementa programe malware de etapa următoare

Metoda inițială de infecție implică un fișier LNK compromis care folosește tehnici de încărcare laterală a DLL pentru a executa un DLL fraudulos. Acest DLL utilizează Dropbox ca canal de comunicare pentru a efectua recunoaștere și a descărca încărcături utile suplimentare.

Una dintre tulpinile de malware implementate este GrewApacha, o ușă din spate asociată anterior cu grupul APT31 legat de China. De asemenea, inițiat prin încărcare secundară DLL, folosește un profil GitHub controlat de atacator ca soluție de dead drop pentru a stoca un șir codificat Base64 care indică serverul de comandă și control (C2) real.

Cealaltă familie de programe malware observată în atacuri este PlugY, o ușă din spate complet care se conectează la un server de management folosind TCP, UDP sau named pipe și vine cu capabilități de a executa comenzi de shell, de a monitoriza ecranul dispozitivului, de a înregistra apăsările de taste și de a captura conținut din clipboard. .

O analiză a codului sursă a PlugX a descoperit asemănări cu o ușă din spate cunoscută numită DRBControl (alias Clambling), care a fost atribuită clusterelor de amenințări China-nexus urmărite ca APT27 și APT41 . Atacatorii din spatele campaniei EastWind au folosit servicii de rețea populare, cum ar fi servere de comandă, cum ar fi GitHub, Dropbox, Quora, Russian LiveJourna și Yandex Disk.