Backdoor CloudSorcerer

Нова фішингова кампанія під назвою EastWind націлена на російський уряд та ІТ-організації. Кампанія пропонує різноманітні бекдори та троянські програми.

Ця послідовність атак зазвичай починається з вкладень архіву RAR, які містять файл ярлика Windows (LNK). Коли цей файл відкривається, він запускає ряд дій, які в кінцевому підсумку призводять до розгортання зловмисного програмного забезпечення, включаючи GrewApacha, оновлену версію бекдора CloudSorcerer і раніше невідомий імплантат під назвою PlugY. PlugY завантажується через бекдор CloudSorcerer, містить широкий набір команд і може обмінюватися даними з сервером Command-and-Control (C2) за допомогою трьох різних протоколів.

CloudSorcerer — це комплексна загроза бекдору

CloudSorcerer — це вдосконалений інструмент кібершпигунства, призначений для прихованого моніторингу, збору даних і викрадання через Microsoft Graph, Yandex Cloud і Dropbox. Він використовує хмарні ресурси як сервери C2, взаємодіючи з ними через API та маркери автентифікації. Спочатку він використовує GitHub як основний сервер C2.

Точний метод цільового проникнення залишається неясним. Однак після отримання доступу зловмисне програмне забезпечення розгортає портативний виконуваний двійковий файл на основі C, який служить бекдором. Цей двійковий файл ініціює зв’язок C2 або вводить код оболонки в законні процеси, такі як mspaint.exe, msiexec.exe або будь-який процес, що містить рядок «браузер».

Продуманий дизайн CloudSorcerer дозволяє адаптувати свою поведінку на основі процесу виконання та використовувати складний міжпроцесний зв’язок через канали Windows.

Компонент бекдора призначений для збору інформації про машину жертви та виконання інструкцій для перерахування файлів і папок, запуску команд оболонки, виконання операцій з файлами та розгортання додаткових корисних навантажень.

Модуль C2 підключається до сторінки GitHub, яка функціонує як розпізнавач несправностей, отримуючи закодований шістнадцятковий рядок, який вказує на фактичний сервер на Microsoft Graph або Yandex Cloud. Крім того, CloudSorcerer також може отримати доступ до даних із hxxps://my.mail.ru/, російської хмарної служби розміщення фотографій, де назва альбому містить той самий шістнадцятковий рядок.

Кіберзлочинці використовують CloudSorcerer для розгортання зловмисного програмного забезпечення наступного етапу

Початковий метод зараження включає скомпрометований файл LNK, який використовує методи бокового завантаження DLL для виконання шахрайської DLL. Ця DLL використовує Dropbox як канал зв’язку для проведення розвідки та завантаження додаткових корисних даних.

Одним із розгорнутих типів зловмисного програмного забезпечення є GrewApacha, бекдор, раніше пов’язаний із пов’язаною з Китаєм групою APT31 . Він також ініціюється за допомогою стороннього завантаження DLL і використовує контрольований зловмисником профіль GitHub як розпізнавач мертвих даних для зберігання рядка, закодованого Base64, що вказує на фактичний сервер керування (C2).

Інше сімейство зловмисних програм, яке спостерігалося під час атак, — це PlugY, повнофункціональний бекдор, який підключається до сервера керування за допомогою TCP, UDP або іменованих каналів і має можливості виконувати команди оболонки, контролювати екран пристрою, реєструвати натискання клавіш і записувати вміст буфера обміну. .

Аналіз вихідного коду PlugX виявив схожість із відомим бекдором під назвою DRBControl (він же Clambling), який було віднесено до кластерів загроз China-nexus, які відстежуються як APT27 та APT41 . Зловмисники, які стояли за кампанією EastWind, використовували такі популярні мережеві сервіси, як командні сервери, такі як GitHub, Dropbox, Quora, російський LiveJourna і Яндекс Диск.