CloudSorcerer Arka Kapısı

EastWind adlı yeni bir spear-phishing kampanyası, Rus hükümetini ve BT kuruluşlarını hedef alıyor. Kampanya çeşitli arka kapılar ve Truva atları sunuyor.

Bu saldırı dizisi genellikle bir Windows kısayolu (LNK) dosyası içeren RAR arşiv ekleriyle başlar. Açıldığında, bu dosya sonunda kötü amaçlı yazılımların dağıtımıyla sonuçlanan bir dizi eylemi tetikler; bunlar arasında CloudSorcerer arka kapısının güncellenmiş bir sürümü olan GrewApacha ve PlugY adlı daha önce bilinmeyen bir implant bulunur. PlugY, CloudSorcerer arka kapısı aracılığıyla indirilir, çok çeşitli komutlar içerir ve üç farklı protokol kullanarak Komuta ve Kontrol (C2) sunucusuyla iletişim kurabilir.

CloudSorcerer Karmaşık Bir Arka Kapı Tehdidi

CloudSorcerer, Microsoft Graph, Yandex Cloud ve Dropbox aracılığıyla gizli izleme, veri toplama ve sızdırma için tasarlanmış gelişmiş bir siber casusluk aracıdır. Bulut kaynaklarını C2 sunucuları olarak kullanır ve bunlarla API'ler ve kimlik doğrulama belirteçleri aracılığıyla etkileşim kurar. Başlangıçta, birincil C2 sunucusu olarak GitHub'ı kullanır.

Hedef sızmasının kesin yöntemi hala belirsizliğini koruyor. Ancak, erişim sağlandığında, kötü amaçlı yazılım arka kapı görevi gören C tabanlı taşınabilir bir yürütülebilir ikili dosya dağıtır. Bu ikili dosya C2 iletişimlerini başlatır veya mspaint.exe, msiexec.exe veya 'tarayıcı' dizesini içeren herhangi bir işlem gibi meşru işlemlere kabuk kodu enjekte eder.

CloudSorcerer'ın gelişmiş tasarımı, yürütülen işleme göre davranışını uyarlamasına ve Windows kanalları üzerinden karmaşık işlemler arası iletişimi kullanmasına olanak tanır.

Arka kapı bileşeni, kurbanın makinesi hakkında bilgi toplamak ve dosya ve klasörleri numaralandırmak, kabuk komutlarını çalıştırmak, dosya işlemleri gerçekleştirmek ve ek yükler dağıtmak için talimatları yürütmek üzere tasarlanmıştır.

C2 modülü, Microsoft Graph veya Yandex Cloud'daki gerçek sunucuya işaret eden kodlanmış bir hex dizesini alarak bir dead drop çözücüsü olarak işlev gören bir GitHub sayfasına bağlanır. Alternatif olarak, CloudSorcerer ayrıca albüm adının aynı hex dizesini içerdiği Rus bulut tabanlı bir fotoğraf barındırma hizmeti olan hxxps://my.mail.ru/ adresinden de verilere erişebilir.

Siber suçlular, bir sonraki aşama kötü amaçlı yazılımları dağıtmak için CloudSorcerer'ı kullanıyor

İlk enfeksiyon yöntemi, hileli bir DLL'yi yürütmek için DLL yan yükleme tekniklerini kullanan tehlikeye atılmış bir LNK dosyasını içerir. Bu DLL, keşif yapmak ve ek yükler indirmek için bir iletişim kanalı olarak Dropbox'ı kullanır.

Dağıtılan kötü amaçlı yazılım türlerinden biri, daha önce Çin bağlantılı APT31 grubuyla ilişkilendirilen bir arka kapı olan GrewApacha'dır. Ayrıca DLL yan yüklemesi yoluyla başlatılan bu, gerçek komut ve kontrol (C2) sunucusuna işaret eden Base64 kodlu bir dizeyi depolamak için bir dead drop çözücüsü olarak saldırgan tarafından kontrol edilen bir GitHub profilini kullanır.

Saldırılarda gözlemlenen diğer kötü amaçlı yazılım ailesi ise, TCP, UDP veya adlandırılmış kanalları kullanarak bir yönetim sunucusuna bağlanan ve kabuk komutlarını yürütme, cihaz ekranını izleme, tuş vuruşlarını kaydetme ve panodaki içeriği yakalama yeteneklerine sahip, tam özellikli bir arka kapı olan PlugY'dir.

PlugX'in kaynak kodu analizi, APT27 ve APT41 olarak izlenen China-nexus tehdit kümelerine atfedilen DRBControl (diğer adıyla Clambling) adlı bilinen bir arka kapı ile benzerlikler ortaya çıkardı. EastWind kampanyasının arkasındaki saldırganlar, GitHub, Dropbox, Quora, Russian LiveJourna ve Yandex Disk gibi komut sunucuları gibi popüler ağ hizmetlerini kullandı.