CloudSorcerer Backdoor
Ang isang bagong spear-phishing campaign, na tinatawag na EastWind, ay nagta-target sa gobyerno ng Russia at sa mga organisasyong IT. Ang kampanya ay naghahatid ng iba't ibang backdoors at Trojans.
Ang pagkakasunud-sunod ng pag-atake na ito ay karaniwang nagsisimula sa mga RAR archive attachment na naglalaman ng Windows shortcut (LNK) file. Kapag binuksan, ang file na ito ay nagti-trigger ng isang serye ng mga aksyon na sa huli ay nagreresulta sa pag-deploy ng malware, kabilang ang GrewApacha, isang na-update na bersyon ng CloudSorcerer backdoor, at isang dating hindi kilalang implant na pinangalanang PlugY. Ang PlugY ay dina-download sa pamamagitan ng CloudSorcerer backdoor, nagtatampok ng malawak na hanay ng mga command, at maaaring makipag-ugnayan sa Command-and-Control (C2) server gamit ang tatlong magkakaibang protocol.
Ang CloudSorcerer ay isang Complex Backdoor Threat
Ang CloudSorcerer ay isang advanced na tool sa cyber-espionage na idinisenyo para sa patagong pagsubaybay, pagkolekta ng data, at pag-exfiltration sa pamamagitan ng Microsoft Graph, Yandex Cloud, at Dropbox. Gumagamit ito ng mga mapagkukunan ng ulap bilang mga C2 server nito, nakikipag-ugnayan sa kanila sa pamamagitan ng mga API at mga token sa pagpapatunay. Sa una, ginagamit nito ang GitHub bilang pangunahing C2 server nito.
Ang eksaktong paraan ng target na paglusot ay nananatiling hindi maliwanag. Gayunpaman, kapag nakakuha na ng access, ang malware ay nagde-deploy ng C-based na portable executable binary na nagsisilbing backdoor. Ang binary na ito ay nagpapasimula ng mga komunikasyon sa C2 o nag-inject ng shellcode sa mga lehitimong proseso, gaya ng mspaint.exe, msiexec.exe, o anumang prosesong naglalaman ng string na 'browser.'
Binibigyang-daan ito ng sopistikadong disenyo ng CloudSorcerer na iakma ang pag-uugali nito batay sa proseso ng pagpapatupad at gamitin ang kumplikadong inter-process na komunikasyon sa pamamagitan ng mga Windows pipe.
Ang bahagi ng backdoor ay iniakma upang mangalap ng impormasyon tungkol sa makina ng biktima at magsagawa ng mga tagubilin upang magbilang ng mga file at folder, magpatakbo ng mga command ng shell, magsagawa ng mga operasyon ng file, at mag-deploy ng mga karagdagang payload.
Ang C2 module ay kumokonekta sa isang GitHub page na gumagana bilang dead drop resolver, na kumukuha ng naka-encode na hex string na tumuturo sa aktwal na server sa Microsoft Graph o Yandex Cloud. Bilang kahalili, maaari ring i-access ng CloudSorcerer ang data mula sa hxxps://my.mail.ru/, isang serbisyo sa pagho-host ng larawan na nakabase sa cloud ng Russia, kung saan ang pangalan ng album ay naglalaman ng parehong hex string.
Gumagamit ang Mga Cybercriminal ng CloudSorcerer para Mag-deploy ng Next-Stage Malware
Ang paunang paraan ng impeksyon ay nagsasangkot ng isang nakompromisong LNK file na gumagamit ng mga diskarte sa side-loading ng DLL upang magsagawa ng isang mapanlinlang na DLL. Ang DLL na ito ay gumagamit ng Dropbox bilang isang channel ng komunikasyon upang magsagawa ng reconnaissance at mag-download ng mga karagdagang payload.
Ang isa sa mga naka-deploy na strain ng malware ay ang GrewApacha, isang backdoor na dating nauugnay sa grupong APT31 na naka-link sa China. Sinimulan din sa pamamagitan ng DLL side-loading, gumagamit ito ng profile ng GitHub na kinokontrol ng attacker bilang dead drop resolver upang mag-imbak ng Base64-encoded string na tumuturo sa aktwal na command-and-control (C2) server.
Ang iba pang pamilya ng malware na naobserbahan sa mga pag-atake ay ang PlugY, isang ganap na tampok na backdoor na kumokonekta sa isang server ng pamamahala gamit ang TCP, UDP, o pinangalanang mga pipe at may mga kakayahang magsagawa ng mga command ng shell, subaybayan ang screen ng device, mag-log keystroke, at kumuha ng nilalaman ng clipboard .
Natuklasan ng isang source code analysis ng PlugX ang mga pagkakatulad sa isang kilalang backdoor na tinatawag na DRBControl (aka Clambling), na na-attribute sa mga cluster ng banta ng China-nexus na sinusubaybayan bilang APT27 at APT41 . Ang mga umaatake sa likod ng kampanyang EastWind ay gumamit ng mga sikat na serbisyo sa network tulad ng mga command server, tulad ng GitHub, Dropbox, Quora, Russian LiveJourna at ang Yandex Disk.
