CloudSorcerer Bakdörr

En ny spjutfiskekampanj, kallad EastWind, riktar sig till den ryska regeringen och IT-organisationer. Kampanjen levererar en mängd olika bakdörrar och trojaner.

Denna attacksekvens börjar vanligtvis med RAR-arkivbilagor som innehåller en Windows-genvägsfil (LNK). När den öppnas utlöser den här filen en rad åtgärder som i slutändan resulterar i distribution av skadlig programvara, inklusive GrewApacha, en uppdaterad version av CloudSorcerer-bakdörren och ett tidigare okänt implantat som heter PlugY. PlugY laddas ner via CloudSorcerer-bakdörren, har ett brett utbud av kommandon och kan kommunicera med Command-and-Control-servern (C2) med hjälp av tre olika protokoll.

CloudSorcerer är ett komplext bakdörrshot

CloudSorcerer är ett avancerat cyberspionageverktyg designat för hemlig övervakning, datainsamling och exfiltrering genom Microsoft Graph, Yandex Cloud och Dropbox. Den använder molnresurser som sina C2-servrar och interagerar med dem via API:er och autentiseringstokens. Inledningsvis använder den GitHub som sin primära C2-server.

Den exakta metoden för målinfiltration är fortfarande oklart. Men när åtkomst har uppnåtts, distribuerar skadlig programvara en C-baserad bärbar körbar binär som fungerar som en bakdörr. Den här binären initierar C2-kommunikation eller injicerar skalkod i legitima processer, såsom mspaint.exe, msiexec.exe eller någon process som innehåller strängen "webbläsare".

CloudSorcerers sofistikerade design gör att den kan anpassa sitt beteende baserat på exekveringsprocessen och använda komplex kommunikation mellan processer genom Windows-pipes.

Bakdörrskomponenten är skräddarsydd för att samla information om offrets maskin och utföra instruktioner för att räkna upp filer och mappar, köra skalkommandon, utföra filoperationer och distribuera ytterligare nyttolaster.

C2-modulen ansluter till en GitHub-sida som fungerar som en dead drop-resolver, och hämtar en kodad hex-sträng som pekar på den faktiska servern på Microsoft Graph eller Yandex Cloud. Alternativt kan CloudSorcerer också komma åt data från hxxps://my.mail.ru/, en rysk molnbaserad fotovärdtjänst, där albumnamnet innehåller samma hexadecimala sträng.

Cyberkriminella använder CloudSorcerer för att distribuera skadlig programvara i nästa steg

Den initiala infektionsmetoden involverar en komprometterad LNK-fil som använder DLL-sidoladdningstekniker för att exekvera en bedräglig DLL. Denna DLL använder Dropbox som en kommunikationskanal för att utföra spaning och ladda ner ytterligare nyttolaster.

En av de distribuerade skadliga stammarna är GrewApacha, en bakdörr som tidigare associerats med den Kina-länkade APT31 -gruppen. Också initierad genom DLL-sidoladdning, använder den en angriparkontrollerad GitHub-profil som en dead drop-resolver för att lagra en Base64-kodad sträng som pekar på den faktiska kommando-och-kontroll-servern (C2).

Den andra skadliga programfamiljen som observerades i attackerna är PlugY, en fullfjädrad bakdörr som ansluter till en hanteringsserver med TCP, UDP eller namngivna pipes och kommer med möjligheter att utföra skalkommandon, övervaka enhetens skärm, logga tangenttryckningar och fånga urklippsinnehåll .

En källkodsanalys av PlugX avslöjade likheter med en känd bakdörr som heter DRBControl (aka Clambling), som har tillskrivits Kina-nexus-hotkluster spårade som APT27 och APT41 . Angriparna bakom EastWind-kampanjen använde populära nätverkstjänster som kommandoservrar, som GitHub, Dropbox, Quora, Russian LiveJourna och Yandex Disk.