CloudSorcerer బ్యాక్‌డోర్

ఈస్ట్‌విండ్‌గా పిలువబడే కొత్త స్పియర్-ఫిషింగ్ ప్రచారం రష్యా ప్రభుత్వం మరియు IT సంస్థలను లక్ష్యంగా చేసుకుంది. ప్రచారం అనేక రకాల బ్యాక్‌డోర్లు మరియు ట్రోజన్‌లను అందిస్తుంది.

ఈ దాడి క్రమం సాధారణంగా Windows షార్ట్‌కట్ (LNK) ఫైల్‌ను కలిగి ఉన్న RAR ఆర్కైవ్ జోడింపులతో ప్రారంభమవుతుంది. తెరిచినప్పుడు, ఈ ఫైల్ మాల్వేర్ యొక్క విస్తరణకు దారితీసే చర్యల శ్రేణిని ప్రేరేపిస్తుంది, ఇందులో GrewApacha, CloudSorcerer బ్యాక్‌డోర్ యొక్క నవీకరించబడిన సంస్కరణ మరియు PlugY అనే మునుపు తెలియని ఇంప్లాంట్ ఉన్నాయి. PlugY CloudSorcerer బ్యాక్‌డోర్ ద్వారా డౌన్‌లోడ్ చేయబడింది, విస్తృత శ్రేణి ఆదేశాలను కలిగి ఉంటుంది మరియు మూడు వేర్వేరు ప్రోటోకాల్‌లను ఉపయోగించి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేట్ చేయవచ్చు.

CloudSorcerer ఒక సంక్లిష్ట బ్యాక్‌డోర్ ముప్పు

CloudSorcerer అనేది మైక్రోసాఫ్ట్ గ్రాఫ్, యాండెక్స్ క్లౌడ్ మరియు డ్రాప్‌బాక్స్ ద్వారా రహస్య పర్యవేక్షణ, డేటా సేకరణ మరియు వెలికితీత కోసం రూపొందించబడిన అధునాతన సైబర్-గూఢచర్య సాధనం. ఇది క్లౌడ్ వనరులను దాని C2 సర్వర్‌లుగా ఉపయోగిస్తుంది, APIలు మరియు ప్రామాణీకరణ టోకెన్‌ల ద్వారా వాటితో పరస్పర చర్య చేస్తుంది. ప్రారంభంలో, ఇది GitHubని దాని ప్రాథమిక C2 సర్వర్‌గా ఉపయోగిస్తుంది.

లక్ష్యం చొరబాటు యొక్క ఖచ్చితమైన పద్ధతి అస్పష్టంగానే ఉంది. అయితే, యాక్సెస్ పొందిన తర్వాత, మాల్వేర్ బ్యాక్‌డోర్‌గా పనిచేసే C-ఆధారిత పోర్టబుల్ ఎక్జిక్యూటబుల్ బైనరీని అమలు చేస్తుంది. ఈ బైనరీ C2 కమ్యూనికేషన్‌లను ప్రారంభిస్తుంది లేదా mspaint.exe, msiexec.exe లేదా స్ట్రింగ్ 'బ్రౌజర్'ని కలిగి ఉన్న ఏదైనా ప్రక్రియ వంటి చట్టబద్ధమైన ప్రక్రియలలోకి షెల్‌కోడ్‌ను ఇంజెక్ట్ చేస్తుంది.

CloudSorcerer యొక్క అధునాతన డిజైన్ అమలు ప్రక్రియ ఆధారంగా దాని ప్రవర్తనను స్వీకరించడానికి మరియు Windows పైపుల ద్వారా సంక్లిష్టమైన ఇంటర్-ప్రాసెస్ కమ్యూనికేషన్‌ను ఉపయోగించుకోవడానికి అనుమతిస్తుంది.

బ్యాక్‌డోర్ కాంపోనెంట్ బాధితుల మెషీన్ గురించి సమాచారాన్ని సేకరించడానికి మరియు ఫైల్‌లు మరియు ఫోల్డర్‌లను లెక్కించడానికి, షెల్ ఆదేశాలను అమలు చేయడానికి, ఫైల్ ఆపరేషన్‌లను నిర్వహించడానికి మరియు అదనపు పేలోడ్‌లను అమలు చేయడానికి సూచనలను అమలు చేయడానికి రూపొందించబడింది.

C2 మాడ్యూల్ మైక్రోసాఫ్ట్ గ్రాఫ్ లేదా యాండెక్స్ క్లౌడ్‌లోని వాస్తవ సర్వర్‌ను సూచించే ఎన్‌కోడ్ చేసిన హెక్స్ స్ట్రింగ్‌ను తిరిగి పొందడం ద్వారా డెడ్ డ్రాప్ రిసల్వర్‌గా పనిచేసే GitHub పేజీకి కనెక్ట్ అవుతుంది. ప్రత్యామ్నాయంగా, CloudSorcerer hxxps://my.mail.ru/, రష్యన్ క్లౌడ్-ఆధారిత ఫోటో హోస్టింగ్ సేవ నుండి డేటాను కూడా యాక్సెస్ చేయవచ్చు, ఇక్కడ ఆల్బమ్ పేరు అదే హెక్స్ స్ట్రింగ్‌ను కలిగి ఉంటుంది.

సైబర్ నేరస్థులు తదుపరి దశ మాల్వేర్‌ని అమలు చేయడానికి క్లౌడ్‌సోర్సెరర్‌ని ఉపయోగిస్తారు

ప్రారంభ సంక్రమణ పద్ధతిలో మోసపూరిత DLLని అమలు చేయడానికి DLL సైడ్-లోడింగ్ పద్ధతులను ఉపయోగించే ఒక రాజీపడిన LNK ఫైల్ ఉంటుంది. ఈ DLL నిఘా నిర్వహించడానికి మరియు అదనపు పేలోడ్‌లను డౌన్‌లోడ్ చేయడానికి డ్రాప్‌బాక్స్‌ని కమ్యూనికేషన్ ఛానెల్‌గా ఉపయోగిస్తుంది.

అమలు చేయబడిన మాల్వేర్ జాతులలో ఒకటి GrewApacha, ఇది గతంలో చైనా-లింక్డ్ APT31 సమూహంతో అనుబంధించబడిన బ్యాక్‌డోర్. DLL సైడ్-లోడింగ్ ద్వారా కూడా ప్రారంభించబడింది, ఇది అసలైన కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు సూచించే Base64-ఎన్‌కోడ్ చేసిన స్ట్రింగ్‌ను నిల్వ చేయడానికి డెడ్ డ్రాప్ రిసల్వర్‌గా దాడి చేసేవారి-నియంత్రిత GitHub ప్రొఫైల్‌ను ఉపయోగిస్తుంది.

దాడులలో గమనించిన ఇతర మాల్వేర్ కుటుంబం PlugY, TCP, UDP లేదా పేరున్న పైపులను ఉపయోగించి మేనేజ్‌మెంట్ సర్వర్‌కు కనెక్ట్ అయ్యే పూర్తి ఫీచర్ చేసిన బ్యాక్‌డోర్ మరియు షెల్ ఆదేశాలను అమలు చేయడం, పరికర స్క్రీన్‌ను పర్యవేక్షించడం, లాగ్ కీస్ట్రోక్‌లు మరియు క్లిప్‌బోర్డ్ కంటెంట్‌ను క్యాప్చర్ చేయడం వంటి సామర్థ్యాలతో వస్తుంది. .

PlugX యొక్క సోర్స్ కోడ్ విశ్లేషణ DRBControl (అకా క్లాంబ్లింగ్) అని పిలువబడే తెలిసిన బ్యాక్‌డోర్‌తో సారూప్యతలను కనుగొంది, ఇది APT27 మరియు APT41 వలె ట్రాక్ చేయబడిన చైనా-నెక్సస్ థ్రెట్ క్లస్టర్‌లకు ఆపాదించబడింది. EastWind ప్రచారం వెనుక దాడి చేసిన వ్యక్తులు GitHub, Dropbox, Quora, Russian LiveJourna మరియు Yandex డిస్క్ వంటి కమాండ్ సర్వర్‌ల వంటి ప్రసిద్ధ నెట్‌వర్క్ సేవలను ఉపయోగించారు.