ЦлоудСорцерер Бацкдоор

Нова кампања за крађу идентитета, названа ЕастВинд, циља на руску владу и ИТ организације. Кампања испоручује разне бекдоре и тројанце.

Ова секвенца напада обично почиње прилозима РАР архиве који садрже датотеку Виндовс пречице (ЛНК). Када се отвори, ова датотека покреће низ радњи које на крају резултирају применом злонамерног софтвера, укључујући ГревАпацха, ажурирану верзију бацкдоор-а ЦлоудСорцерер и раније непознати имплант под називом ПлугИ. ПлугИ се преузима преко ЦлоудСорцерер бацкдоор-а, има широку лепезу команди и може да комуницира са сервером за команду и контролу (Ц2) користећи три различита протокола.

ЦлоудСорцерер је сложена претња у позадини

ЦлоудСорцерер је напредни алат за сајбер шпијунажу дизајниран за тајно праћење, прикупљање података и ексфилтрацију преко Мицрософт Грапх-а, Иандек Цлоуд-а и Дропбок-а. Користи ресурсе облака као своје Ц2 сервере, у интеракцији са њима преко АПИ-ја и токена за аутентификацију. У почетку, користи ГитХуб као свој примарни Ц2 сервер.

Тачан начин инфилтрације циља остаје нејасан. Међутим, када се добије приступ, злонамерни софтвер примењује преносиви извршни бинарни фајл заснован на Ц који служи као бацкдоор. Овај бинарни програм покреће Ц2 комуникацију или убацује схеллцоде у легитимне процесе, као што су мспаинт.еке, мсиекец.еке или било који процес који садржи стринг 'прегледач'.

ЦлоудСорцерер-ов софистицирани дизајн омогућава му да прилагоди своје понашање засновано на извршном процесу и да користи сложену међупроцесну комуникацију кроз Виндовс цеви.

Позадинска компонента је прилагођена за прикупљање информација о машини жртве и извршавање инструкција за набрајање датотека и фасцикли, покретање команди љуске, извршавање операција са датотекама и распоређивање додатних корисних оптерећења.

Ц2 модул се повезује са ГитХуб страницом која функционише као ресолвер без грешке, преузимајући кодирани хексадецимални низ који указује на стварни сервер на Мицрософт Грапх-у или Иандек Цлоуд-у. Алтернативно, ЦлоудСорцерер такође може да приступи подацима са хккпс://ми.маил.ру/, руског сервиса за хостовање фотографија заснованог на облаку, где назив албума садржи исти хексадецимални низ.

Сајбер криминалци користе ЦлоудСорцерер за примену злонамерног софтвера следеће фазе

Почетна метода заразе укључује компромитовану ЛНК датотеку која користи технике бочног учитавања ДЛЛ-а за извршавање лажног ДЛЛ-а. Овај ДЛЛ користи Дропбок као комуникациони канал за извиђање и преузимање додатних корисних података.

Један од примењених сојева злонамерног софтвера је ГревАпацха, бацкдоор који је раније био повезан са АПТ31 групом повезаном с Кином. Такође инициран кроз бочно учитавање ДЛЛ-а, користи ГитХуб профил који контролише нападач као ресолвер мртвог пада за складиштење Басе64 кодираног стринга који указује на стварни сервер за команду и контролу (Ц2).

Друга породица малвера која је примећена у нападима је ПлугИ, потпуно опремљена позадинска врата која се повезује са сервером за управљање користећи ТЦП, УДП или именоване цеви и долази са могућностима за извршавање команди љуске, надгледање екрана уређаја, евидентирање притисака на тастере и снимање садржаја међумеморије .

Анализа изворног кода ПлугКс-а открила је сличности са познатим бацкдоор-ом званим ДРБЦонтрол (ака Цламблинг), који је приписан кластерима претњи Кине-некус праћен као АПТ27 и АПТ41 . Нападачи који стоје иза кампање ЕастВинд користили су популарне мрежне услуге као што су командни сервери, као што су ГитХуб, Дропбок, Куора, Руссиан ЛивеЈоурна и Иандек Диск.