Бэкдор CloudSorcerer

Новая фишинговая кампания под названием EastWind нацелена на российское правительство и ИТ-организации. Кампания доставляет разнообразные бэкдоры и трояны.

Эта последовательность атак обычно начинается с вложений архива RAR, которые содержат файл ярлыка Windows (LNK). При открытии этот файл запускает ряд действий, которые в конечном итоге приводят к развертыванию вредоносного ПО, включая GrewApacha, обновленную версию бэкдора CloudSorcerer и ранее неизвестный имплант под названием PlugY. PlugY загружается через бэкдор CloudSorcerer, имеет широкий спектр команд и может взаимодействовать с сервером Command-and-Control (C2) с помощью трех различных протоколов.

CloudSorcerer — это сложная угроза бэкдора

CloudSorcerer — это усовершенствованный инструмент кибершпионажа, предназначенный для скрытого мониторинга, сбора данных и их эксфильтрации через Microsoft Graph, Yandex Cloud и Dropbox. Он использует облачные ресурсы в качестве своих серверов C2, взаимодействуя с ними через API и токены аутентификации. Изначально он использует GitHub в качестве своего основного сервера C2.

Точный метод проникновения в цель остается неясным. Однако после получения доступа вредоносная программа развертывает портативный исполняемый двоичный файл на основе C, который служит бэкдором. Этот двоичный файл инициирует связь C2 или внедряет шелл-код в легитимные процессы, такие как mspaint.exe, msiexec.exe или любой процесс, содержащий строку «браузер».

Сложная конструкция CloudSorcerer позволяет ему адаптировать свое поведение в зависимости от выполняемого процесса и использовать сложное межпроцессное взаимодействие через каналы Windows.

Компонент бэкдора предназначен для сбора информации о компьютере жертвы и выполнения инструкций по перечислению файлов и папок, запуску команд оболочки, выполнению файловых операций и развертыванию дополнительных полезных нагрузок.

Модуль C2 подключается к странице GitHub, которая функционирует как определитель тайника, извлекая закодированную шестнадцатеричную строку, которая указывает на фактический сервер в Microsoft Graph или Yandex Cloud. В качестве альтернативы CloudSorcerer может также получать доступ к данным из hxxps://my.mail.ru/, российского облачного сервиса для размещения фотографий, где название альбома содержит ту же шестнадцатеричную строку.

Киберпреступники используют CloudSorcerer для развертывания вредоносного ПО следующего уровня

Первоначальный метод заражения включает скомпрометированный файл LNK, который использует методы боковой загрузки DLL для выполнения мошеннической DLL. Эта DLL использует Dropbox в качестве канала связи для проведения разведки и загрузки дополнительных полезных нагрузок.

Одним из внедренных штаммов вредоносного ПО является GrewApacha, бэкдор, ранее связанный с группой APT31 , связанной с Китаем. Он также инициирован через загрузку DLL-файлов и использует контролируемый злоумышленником профиль GitHub в качестве решателя тайника для хранения строки в кодировке Base64, указывающей на фактический сервер управления и контроля (C2).

Другое семейство вредоносных программ, обнаруженное в ходе атак, — PlugY, полнофункциональный бэкдор, который подключается к серверу управления с помощью TCP, UDP или именованных каналов и обладает возможностями выполнять команды оболочки, отслеживать экран устройства, регистрировать нажатия клавиш и захватывать содержимое буфера обмена.

Анализ исходного кода PlugX выявил сходство с известным бэкдором под названием DRBControl (он же Clambling), который приписывается кластерам угроз China-nexus, отслеживаемым как APT27 и APT41 . Злоумышленники, стоящие за кампанией EastWind, использовали популярные сетевые сервисы, такие как командные серверы, такие как GitHub, Dropbox, Quora, русский LiveJourna и Яндекс.Диск.