แบ็คดอร์ของ CloudSorcerer

แคมเปญฟิชชิ่งแบบใหม่ที่มีชื่อว่า EastWind กำลังกำหนดเป้าหมายไปที่รัฐบาลรัสเซียและองค์กรไอที แคมเปญดังกล่าวมีแบ็กดอร์และโทรจันหลากหลายรูปแบบ

ลำดับการโจมตีนี้มักจะเริ่มต้นด้วยไฟล์แนบ RAR ที่ประกอบด้วยไฟล์ทางลัดของ Windows (LNK) เมื่อเปิดไฟล์นี้ ไฟล์นี้จะทริกเกอร์ชุดการดำเนินการซึ่งท้ายที่สุดแล้วส่งผลให้เกิดการแพร่กระจายมัลแวร์ รวมถึง GrewApacha เวอร์ชันอัปเดตของแบ็คดอร์ CloudSorcerer และอิมแพลนท์ที่ไม่รู้จักมาก่อนชื่อ PlugY PlugY สามารถดาวน์โหลดผ่านแบ็คดอร์ CloudSorcerer มีคำสั่งมากมาย และสามารถสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) โดยใช้โปรโตคอลที่แตกต่างกันสามแบบ

CloudSorcerer เป็นภัยคุกคามทางแบ็กดอร์ที่ซับซ้อน

CloudSorcerer เป็นเครื่องมือจารกรรมทางไซเบอร์ขั้นสูงที่ออกแบบมาเพื่อการติดตามอย่างลับๆ การรวบรวมข้อมูล และการแอบอ้างข้อมูลผ่าน Microsoft Graph, Yandex Cloud และ Dropbox โดยใช้ทรัพยากรบนคลาวด์เป็นเซิร์ฟเวอร์ C2 และโต้ตอบกับทรัพยากรเหล่านั้นผ่าน API และโทเค็นการตรวจสอบสิทธิ์ ในช่วงแรกนั้นจะใช้ GitHub เป็นเซิร์ฟเวอร์ C2 หลัก

วิธีการเจาะเข้าเป้าหมายที่ชัดเจนยังคงไม่ชัดเจน อย่างไรก็ตาม เมื่อเข้าถึงได้แล้ว มัลแวร์จะใช้ไบนารีปฏิบัติการแบบพกพาที่ใช้ C ซึ่งทำหน้าที่เป็นประตูหลัง ไบนารีนี้จะเริ่มการสื่อสาร C2 หรือแทรกโค้ดเชลล์ลงในกระบวนการที่ถูกต้อง เช่น mspaint.exe, msiexec.exe หรือกระบวนการใดๆ ก็ตามที่มีสตริง 'เบราว์เซอร์'

การออกแบบอันซับซ้อนของ CloudSorcerer ช่วยให้ปรับเปลี่ยนพฤติกรรมได้ตามกระบวนการดำเนินการ และใช้การสื่อสารระหว่างกระบวนการที่ซับซ้อนผ่านทางท่อ Windows

ส่วนประกอบของแบ็คดอร์ได้รับการปรับแต่งเพื่อรวบรวมข้อมูลเกี่ยวกับเครื่องของเหยื่อและดำเนินการตามคำสั่งเพื่อระบุไฟล์และโฟลเดอร์ รันคำสั่งเชลล์ ดำเนินการกับไฟล์ และปรับใช้เพย์โหลดเพิ่มเติม

โมดูล C2 เชื่อมต่อกับเพจ GitHub ซึ่งทำหน้าที่เป็นตัวแก้ไขการทิ้งไฟล์โดยดึงสตริงเลขฐานสิบหกที่เข้ารหัสซึ่งชี้ไปยังเซิร์ฟเวอร์จริงบน Microsoft Graph หรือ Yandex Cloud นอกจากนี้ CloudSorcerer ยังสามารถเข้าถึงข้อมูลจาก hxxps://my.mail.ru/ ซึ่งเป็นบริการโฮสต์รูปภาพบนคลาวด์ของรัสเซีย โดยชื่ออัลบั้มจะมีสตริงเลขฐานสิบหกเดียวกัน

อาชญากรไซเบอร์ใช้ CloudSorcerer เพื่อปรับใช้มัลแวร์ขั้นถัดไป

วิธีการติดไวรัสเบื้องต้นเกี่ยวข้องกับไฟล์ LNK ที่ถูกบุกรุกซึ่งใช้เทคนิคการโหลด DLL จากทางด้านข้างเพื่อเรียกใช้ DLL ปลอม DLL นี้ใช้ Dropbox เป็นช่องทางการสื่อสารเพื่อดำเนินการลาดตระเวนและดาวน์โหลดเพย์โหลดเพิ่มเติม

มัลแวร์สายพันธุ์หนึ่งที่นำมาใช้งานคือ GrewApacha ซึ่งเป็นแบ็คดอร์ที่เคยเชื่อมโยงกับกลุ่ม APT31 ที่มีความเชื่อมโยงกับจีนมาก่อน โดยเริ่มต้นผ่านการโหลด DLL จากด้านข้างเช่นกัน โดยใช้โปรไฟล์ GitHub ที่ควบคุมโดยผู้โจมตีเป็นตัวแก้ไขการทิ้งแบบตายตัวเพื่อจัดเก็บสตริงที่เข้ารหัสด้วย Base64 ที่ชี้ไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) จริง

กลุ่มมัลแวร์อีกกลุ่มที่ตรวจพบในการโจมตีคือ PlugY ซึ่งเป็นแบ็กดอร์ที่มีฟีเจอร์ครบครันที่เชื่อมต่อกับเซิร์ฟเวอร์การจัดการโดยใช้ TCP, UDP หรือไปป์ที่มีชื่อ และมาพร้อมความสามารถในการดำเนินการคำสั่งเชลล์ ตรวจสอบหน้าจออุปกรณ์ บันทึกการกดแป้นพิมพ์ และบันทึกเนื้อหาของคลิปบอร์ด

การวิเคราะห์ซอร์สโค้ดของ PlugX เผยให้เห็นความคล้ายคลึงกับแบ็คดอร์ที่รู้จักที่เรียกว่า DRBControl (หรือเรียกอีกอย่างว่า Clambling) ซึ่งถูกระบุว่าเป็นคลัสเตอร์ภัยคุกคามที่เชื่อมโยงกับจีนซึ่งติดตามเป็น APT27 และ APT41 ผู้โจมตีที่อยู่เบื้องหลังแคมเปญ EastWind ใช้บริการเครือข่ายยอดนิยม เช่น เซิร์ฟเวอร์คำสั่ง เช่น GitHub, Dropbox, Quora, Russian LiveJourna และ Yandex Disk