CloudSorcerer பின்கதவு

ஈஸ்ட்விண்ட் என அழைக்கப்படும் ஒரு புதிய ஈட்டி-ஃபிஷிங் பிரச்சாரம் ரஷ்ய அரசாங்கத்தையும் தகவல் தொழில்நுட்ப நிறுவனங்களையும் குறிவைக்கிறது. பிரச்சாரம் பலவிதமான பின்கதவுகளையும் ட்ரோஜான்களையும் வழங்குகிறது.

இந்த தாக்குதல் வரிசை பொதுவாக விண்டோஸ் ஷார்ட்கட் (LNK) கோப்பைக் கொண்டிருக்கும் RAR காப்பக இணைப்புகளுடன் தொடங்குகிறது. திறக்கும் போது, இந்த கோப்பு தொடர்ச்சியான செயல்களைத் தூண்டுகிறது, இது இறுதியில் தீம்பொருளின் வரிசைப்படுத்தலுக்கு வழிவகுக்கிறது, இதில் GrewApacha, CloudSorcerer பின்கதவின் புதுப்பிக்கப்பட்ட பதிப்பு மற்றும் PlugY என பெயரிடப்பட்ட முன்னர் அறியப்படாத உள்வைப்பு ஆகியவை அடங்கும். PlugY ஆனது CloudSorcerer பின்கதவு வழியாக பதிவிறக்கம் செய்யப்படுகிறது, பலவிதமான கட்டளைகளைக் கொண்டுள்ளது, மேலும் மூன்று வெவ்வேறு நெறிமுறைகளைப் பயன்படுத்தி கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பு கொள்ளலாம்.

CloudSorcerer என்பது ஒரு சிக்கலான பின்கதவு அச்சுறுத்தலாகும்

CloudSorcerer என்பது மைக்ரோசாஃப்ட் கிராஃப், யாண்டெக்ஸ் கிளவுட் மற்றும் டிராப்பாக்ஸ் மூலம் இரகசிய கண்காணிப்பு, தரவு சேகரிப்பு மற்றும் வெளியேற்றத்திற்காக வடிவமைக்கப்பட்ட மேம்பட்ட இணைய-உளவு கருவியாகும். இது கிளவுட் ஆதாரங்களை அதன் C2 சேவையகங்களாகப் பயன்படுத்துகிறது, APIகள் மற்றும் அங்கீகார டோக்கன்கள் மூலம் அவற்றுடன் தொடர்பு கொள்கிறது. ஆரம்பத்தில், இது GitHub ஐ அதன் முதன்மை C2 சேவையகமாகப் பயன்படுத்துகிறது.

இலக்கு ஊடுருவலின் சரியான முறை தெளிவாக இல்லை. இருப்பினும், அணுகலைப் பெற்றவுடன், மால்வேர் ஒரு பின்கதவாகச் செயல்படும் சி-அடிப்படையிலான கையடக்க இயங்கக்கூடிய பைனரியைப் பயன்படுத்துகிறது. இந்த பைனரி C2 தகவல்தொடர்புகளைத் தொடங்குகிறது அல்லது mspaint.exe, msiexec.exe அல்லது சரம் 'உலாவி' போன்ற எந்த செயல்முறையையும் சட்டபூர்வமான செயல்முறைகளில் ஷெல்கோடு செலுத்துகிறது.

CloudSorcerer இன் அதிநவீன வடிவமைப்பு, செயல்பாட்டின் அடிப்படையில் அதன் நடத்தையை மாற்றியமைக்கவும் மற்றும் விண்டோஸ் குழாய்கள் மூலம் சிக்கலான இடை-செயல்முறை தொடர்புகளைப் பயன்படுத்தவும் அனுமதிக்கிறது.

பின்கதவு கூறு பாதிக்கப்பட்டவரின் இயந்திரத்தைப் பற்றிய தகவல்களைச் சேகரிக்கவும், கோப்புகள் மற்றும் கோப்புறைகளைக் கணக்கிடவும், ஷெல் கட்டளைகளை இயக்கவும், கோப்பு செயல்பாடுகளைச் செய்யவும், கூடுதல் பேலோடுகளை வரிசைப்படுத்தவும் வழிமுறைகளை செயல்படுத்தவும் வடிவமைக்கப்பட்டுள்ளது.

C2 தொகுதி ஒரு கிட்ஹப் பக்கத்துடன் இணைக்கிறது, இது டெட் ட்ராப் ரிசல்வராகச் செயல்படுகிறது, மைக்ரோசாஃப்ட் கிராஃப் அல்லது யாண்டெக்ஸ் கிளவுட்டில் உள்ள உண்மையான சர்வரைக் குறிக்கும் குறியிடப்பட்ட ஹெக்ஸ் சரத்தை மீட்டெடுக்கிறது. மாற்றாக, CloudSorcerer ஆனது hxxps://my.mail.ru/ என்ற ரஷ்ய கிளவுட் அடிப்படையிலான புகைப்பட ஹோஸ்டிங் சேவையிலிருந்து தரவை அணுகலாம், அங்கு ஆல்பத்தின் பெயர் அதே ஹெக்ஸ் சரத்தைக் கொண்டுள்ளது.

சைபர் கிரைமினல்கள் அடுத்த கட்ட மால்வேரை வரிசைப்படுத்த CloudSorcerer ஐப் பயன்படுத்துகின்றனர்

ஆரம்ப தொற்று முறையானது ஒரு மோசடியான DLL ஐ இயக்க DLL பக்க ஏற்றுதல் நுட்பங்களைப் பயன்படுத்தும் சமரசம் செய்யப்பட்ட LNK கோப்பை உள்ளடக்கியது. இந்த DLL டிராப்பாக்ஸை உளவு பார்க்கவும் கூடுதல் பேலோடுகளைப் பதிவிறக்கவும் ஒரு தகவல் தொடர்பு சேனலாகப் பயன்படுத்துகிறது.

பயன்படுத்தப்பட்ட தீம்பொருள் விகாரங்களில் ஒன்று GrewApacha ஆகும், இது முன்பு சீனாவுடன் இணைக்கப்பட்ட APT31 குழுவுடன் தொடர்புடைய பின்கதவு ஆகும். DLL பக்க-ஏற்றுதல் மூலம் தொடங்கப்பட்டது, இது உண்மையான கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்தை சுட்டிக்காட்டும் Base64-குறியீடு செய்யப்பட்ட சரத்தை சேமிக்க ஒரு டெட் டிராப் ரிசல்வராக தாக்குபவர்-கட்டுப்படுத்தப்பட்ட GitHub சுயவிவரத்தைப் பயன்படுத்துகிறது.

தாக்குதல்களில் காணப்பட்ட மற்ற மால்வேர் குடும்பம் PlugY ஆகும், இது TCP, UDP அல்லது பெயரிடப்பட்ட குழாய்களைப் பயன்படுத்தி மேலாண்மை சேவையகத்துடன் இணைக்கும் மற்றும் ஷெல் கட்டளைகளை இயக்க, சாதனத் திரை, பதிவு விசை அழுத்தங்கள் மற்றும் கிளிப்போர்டு உள்ளடக்கத்தைப் பிடிக்கும் திறன்களுடன் வருகிறது. .

PlugX இன் மூலக் குறியீடு பகுப்பாய்வு, DRBControl (aka clambling) எனப்படும் அறியப்பட்ட பின்கதவுடன் உள்ள ஒற்றுமைகளைக் கண்டறிந்தது, இது APT27 மற்றும் APT41 என கண்காணிக்கப்படும் சீனா-நெக்ஸஸ் அச்சுறுத்தல் கிளஸ்டர்களால் கூறப்பட்டது. EastWind பிரச்சாரத்தின் பின்னால் உள்ள தாக்குபவர்கள் GitHub, Dropbox, Quora, Russian LiveJourna மற்றும் Yandex Disk போன்ற கட்டளை சேவையகங்கள் போன்ற பிரபலமான நெட்வொர்க் சேவைகளைப் பயன்படுத்தினர்.