Backdoor CloudSorcerer

Nova kampanja lažnega predstavljanja, imenovana EastWind, cilja na rusko vlado in IT organizacije. Kampanja ponuja različne backdoorje in trojance.

To zaporedje napadov se običajno začne z arhivskimi prilogami RAR, ki vsebujejo datoteko Windows bližnjice (LNK). Ko se ta datoteka odpre, sproži niz dejanj, ki na koncu povzročijo uvedbo zlonamerne programske opreme, vključno z GrewApacha, posodobljeno različico zakulisnih vrat CloudSorcerer in prej neznanim vsadkom z imenom PlugY. PlugY se prenese prek zakulisnih vrat CloudSorcerer, vsebuje široko paleto ukazov in lahko komunicira s strežnikom Command-and-Control (C2) z uporabo treh različnih protokolov.

CloudSorcerer je zapletena stranska grožnja

CloudSorcerer je napredno orodje za kibernetsko vohunjenje, zasnovano za prikrito spremljanje, zbiranje podatkov in izločanje prek Microsoft Graph, Yandex Cloud in Dropbox. Vire v oblaku uporablja kot svoje strežnike C2, z njimi komunicira prek API-jev in žetonov za preverjanje pristnosti. Sprva uporablja GitHub kot primarni strežnik C2.

Natančna metoda ciljne infiltracije ostaja nejasna. Vendar ko je dostop pridobljen, zlonamerna programska oprema uvede prenosno izvedljivo binarno datoteko, ki temelji na C-ju, ki služi kot stranska vrata. Ta dvojiška datoteka sproži komunikacijo C2 ali vstavi lupinsko kodo v zakonite procese, kot je mspaint.exe, msiexec.exe ali kateri koli proces, ki vsebuje niz 'brskalnik'.

Prefinjena zasnova CloudSorcererja mu omogoča, da prilagodi svoje vedenje na podlagi izvajalnega procesa in uporabi kompleksno komunikacijo med procesi prek cevi Windows.

Komponenta backdoor je prilagojena za zbiranje informacij o žrtvinem računalniku in izvajanje navodil za oštevilčenje datotek in map, zagon ukazov lupine, izvajanje operacij z datotekami in uvajanje dodatnih koristnih obremenitev.

Modul C2 se poveže s stranjo GitHub, ki deluje kot razreševalec mrtvih padcev in pridobi kodiran šestnajstiški niz, ki kaže na dejanski strežnik na Microsoft Graph ali Yandex Cloud. Druga možnost je, da lahko CloudSorcerer dostopa tudi do podatkov iz hxxps://my.mail.ru/, ruske storitve gostovanja fotografij v oblaku, kjer ime albuma vsebuje isti šestnajstiški niz.

Kibernetski kriminalci uporabljajo CloudSorcerer za uvajanje zlonamerne programske opreme naslednje stopnje

Začetna metoda okužbe vključuje ogroženo datoteko LNK, ki uporablja tehnike stranskega nalaganja DLL za izvajanje lažnega DLL. Ta DLL uporablja Dropbox kot komunikacijski kanal za izvajanje izvidovanja in prenos dodatnega tovora.

Ena od uporabljenih različic zlonamerne programske opreme je GrewApacha, stranska vrata, ki so bila prej povezana s skupino APT31 , povezano s Kitajsko. Zažene se tudi s stranskim nalaganjem DLL in uporablja profil GitHub, ki ga nadzira napadalec, kot razreševalec mrtvih padcev za shranjevanje niza, kodiranega z Base64, ki kaže na dejanski strežnik za ukaze in nadzor (C2).

Druga družina zlonamerne programske opreme, ki so jo opazili v napadih, je PlugY, popolnoma opremljena stranska vrata, ki se poveže s strežnikom za upravljanje s pomočjo TCP, UDP ali imenovanih cevi in ima zmožnosti za izvajanje ukazov lupine, nadzor zaslona naprave, beleženje pritiskov tipk in zajemanje vsebine odložišča .

Analiza izvorne kode PlugX je odkrila podobnosti z znanimi stranskimi vrati, imenovanimi DRBControl (alias Clambling), ki je bila pripisana gručem groženj China-nexus, ki so jim sledili kot APT27 in APT41 . Napadalci za kampanjo EastWind so uporabljali priljubljene omrežne storitve, kot so ukazni strežniki, kot so GitHub, Dropbox, Quora, ruski LiveJourna in Yandex Disk.