CloudSorcerer Backdoor
Një fushatë e re spear-phishing, e quajtur EastWind, po synon qeverinë ruse dhe organizatat e IT. Fushata ofron një shumëllojshmëri të backdoors dhe Trojans.
Kjo sekuencë sulmi zakonisht fillon me bashkëngjitjet e arkivit RAR që përmbajnë një skedar të shkurtoreve të Windows (LNK). Kur hapet, ky skedar shkakton një sërë veprimesh që përfundimisht rezultojnë në vendosjen e malware, duke përfshirë GrewApacha, një version i përditësuar i derës së pasme të CloudSorcerer dhe një implant të panjohur më parë të quajtur PlugY. PlugY shkarkohet përmes derës së pasme të CloudSorcerer, përmban një gamë të gjerë komandash dhe mund të komunikojë me serverin Command-and-Control (C2) duke përdorur tre protokolle të ndryshme.
CloudSorcerer është një kërcënim kompleks i pasme
CloudSorcerer është një mjet i avancuar i spiunazhit kibernetik i krijuar për monitorim të fshehtë, mbledhje të të dhënave dhe ekfiltrim përmes Microsoft Graph, Yandex Cloud dhe Dropbox. Ai përdor burimet cloud si serverët e tij C2, duke ndërvepruar me ta nëpërmjet API-ve dhe shenjave të vërtetimit. Fillimisht, ai përdor GitHub si serverin e tij kryesor C2.
Metoda e saktë e infiltrimit të objektivit mbetet e paqartë. Megjithatë, sapo të fitohet qasja, malware vendos një binar të ekzekutueshëm portativ të bazuar në C që shërben si një derë e pasme. Ky binar fillon komunikimet C2 ose injekton shellcode në procese legjitime, të tilla si mspaint.exe, msiexec.exe, ose çdo proces që përmban vargun 'shfletuesi'.
Dizajni i sofistikuar i CloudSorcerer e lejon atë të përshtatë sjelljen e tij bazuar në procesin e ekzekutimit dhe të përdorë komunikimin kompleks ndër-procesor përmes tubave të Windows.
Komponenti backdoor është përshtatur për të mbledhur informacione rreth makinës së viktimës dhe për të ekzekutuar udhëzime për të numëruar skedarët dhe dosjet, për të ekzekutuar komandat e guaskës, për të kryer operacione skedarësh dhe për të vendosur ngarkesa shtesë.
Moduli C2 lidhet me një faqe GitHub që funksionon si një zgjidhës i pikave të vdekura, duke rikthyer një varg heks të koduar që tregon serverin aktual në Microsoft Graph ose Yandex Cloud. Përndryshe, CloudSorcerer mund të aksesojë gjithashtu të dhëna nga hxxps://my.mail.ru/, një shërbim rus i mbajtjes së fotografive me bazë cloud, ku emri i albumit përmban të njëjtin varg gjashtëkëndor.
Kriminelët kibernetikë përdorin CloudSorcerer për të vendosur malware në fazën tjetër
Metoda fillestare e infeksionit përfshin një skedar LNK të komprometuar që përdor teknikat e ngarkimit anësor DLL për të ekzekutuar një DLL mashtruese. Kjo DLL përdor Dropbox si një kanal komunikimi për të kryer zbulimin dhe shkarkimin e ngarkesave shtesë.
Një nga llojet e malware të vendosura është GrewApacha, një derë e pasme e lidhur më parë me grupin APT31 të lidhur me Kinën. I inicuar gjithashtu përmes ngarkimit anësor DLL, ai përdor një profil GitHub të kontrolluar nga sulmuesi si një zgjidhës i rënies së vdekur për të ruajtur një varg të koduar nga Base64 që tregon serverin aktual të komandës dhe kontrollit (C2).
Familja tjetër e malware e vëzhguar në sulme është PlugY, një derë e pasme me funksione të plota që lidhet me një server menaxhimi duke përdorur TCP, UDP ose tuba të emërtuar dhe vjen me aftësi për të ekzekutuar komandat e predhave, për të monitoruar ekranin e pajisjes, për të regjistruar tastierë dhe për të kapur përmbajtjen e kujtesës. .
Një analizë e kodit burimor të PlugX zbuloi ngjashmëri me një derë të pasme të njohur të quajtur DRBControl (aka Clambling), e cila i është atribuar grupeve të kërcënimit China-nexus të gjurmuara si APT27 dhe APT41 . Sulmuesit pas fushatës EastWind përdorën shërbime të njohura të rrjetit si serverët e komandës, si GitHub, Dropbox, Quora, Russian LiveJourna dhe Yandex Disk.
