CloudSorcerer Backdoor

Nová spear-phishingová kampaň s názvom EastWind sa zameriava na ruskú vládu a IT organizácie. Kampaň prináša rôzne zadné vrátka a trójske kone.

Táto sekvencia útokov zvyčajne začína prílohami archívov RAR, ktoré obsahujú súbor skratky systému Windows (LNK). Po otvorení tento súbor spustí sériu akcií, ktoré v konečnom dôsledku vyústia do nasadenia malvéru, vrátane GrewApacha, aktualizovanej verzie backdoor CloudSorcerer a predtým neznámeho implantátu s názvom PlugY. PlugY sa sťahuje cez zadné dvierka CloudSorcerer, obsahuje širokú škálu príkazov a dokáže komunikovať so serverom Command-and-Control (C2) pomocou troch rôznych protokolov.

CloudSorcerer je komplexná hrozba backdoor

CloudSorcerer je pokročilý nástroj kybernetickej špionáže určený na skryté monitorovanie, zber údajov a exfiltráciu cez Microsoft Graph, Yandex Cloud a Dropbox. Používa cloudové zdroje ako svoje servery C2 a komunikuje s nimi prostredníctvom rozhraní API a autentifikačných tokenov. Spočiatku využíva GitHub ako svoj primárny server C2.

Presný spôsob infiltrácie cieľa zostáva nejasný. Po získaní prístupu však malvér nasadí prenosný spustiteľný binárny súbor na báze C, ktorý slúži ako zadné vrátka. Tento binárny súbor iniciuje komunikáciu C2 alebo vkladá shell kód do legitímnych procesov, ako je mspaint.exe, msiexec.exe alebo akýkoľvek proces obsahujúci reťazec 'prehliadač'.

Sofistikovaný dizajn CloudSorcerer mu umožňuje prispôsobiť svoje správanie na základe vykonávaného procesu a využívať komplexnú medziprocesovú komunikáciu prostredníctvom kanálov Windows.

Komponent zadných vrátok je prispôsobený na zhromažďovanie informácií o počítači obete a vykonávanie pokynov na vymenovanie súborov a priečinkov, spúšťanie príkazov shellu, vykonávanie operácií so súbormi a nasadzovanie ďalších užitočných zaťažení.

Modul C2 sa pripája k stránke GitHub, ktorá funguje ako rozkladač mŕtvych kvapiek, pričom získava zakódovaný hexadecimálny reťazec, ktorý ukazuje na skutočný server v Microsoft Graph alebo Yandex Cloud. Alternatívne môže CloudSorcerer pristupovať k údajom aj z hxxps://my.mail.ru/, ruskej cloudovej služby hostenia fotografií, kde názov albumu obsahuje rovnaký hexadecimálny reťazec.

Kyberzločinci používajú CloudSorcerer na nasadenie malvéru v ďalšej fáze

Počiatočná metóda infekcie zahŕňa kompromitovaný súbor LNK, ktorý používa techniky bočného načítania DLL na spustenie podvodnej knižnice DLL. Táto knižnica DLL využíva Dropbox ako komunikačný kanál na vykonávanie prieskumu a sťahovanie dodatočných dát.

Jedným z nasadených kmeňov malvéru je GrewApacha, zadné vrátka predtým spojené so skupinou APT31 spojenou s Čínou. Tiež iniciovaný prostredníctvom načítania DLL zboku a používa útočníkom kontrolovaný GitHub profil ako rozkladač mŕtvych kvapiek na uloženie reťazca zakódovaného v Base64 smerujúceho na skutočný server príkazov a ovládania (C2).

Ďalšou skupinou škodlivého softvéru, ktorý bol pozorovaný pri útokoch, je PlugY, plne vybavený backdoor, ktorý sa pripája k správcovskému serveru pomocou TCP, UDP alebo pomenovaných kanálov a je vybavený schopnosťou vykonávať príkazy shellu, monitorovať obrazovku zariadenia, zaznamenávať stlačenia klávesov a zachytávať obsah schránky. .

Analýza zdrojového kódu PlugX odhalila podobnosti so známymi zadnými vrátkami nazývanými DRBControl (aka Clambling), ktoré sa pripisujú klastrom hrozieb China-nexus sledovaným ako APT27 a APT41 . Útočníci za kampaňou EastWind použili populárne sieťové služby, ako sú príkazové servery, ako sú GitHub, Dropbox, Quora, Russian LiveJourna a Yandex Disk.