Cửa sau của CloudSorcerer
Một chiến dịch lừa đảo mới, được gọi là EastWind, đang nhắm vào chính phủ Nga và các tổ chức CNTT. Chiến dịch này cung cấp nhiều loại backdoor và Trojan.
Chuỗi tấn công này thường bắt đầu bằng các tệp đính kèm lưu trữ RAR có chứa tệp phím tắt Windows (LNK). Khi mở, tệp này sẽ kích hoạt một loạt các hành động cuối cùng dẫn đến việc triển khai phần mềm độc hại, bao gồm GrewApacha, phiên bản cập nhật của cửa hậu CloudSorcerer và một phần mềm cấy ghép chưa biết trước đó có tên là PlugY. PlugY được tải xuống thông qua cửa hậu CloudSorcerer, có nhiều lệnh và có thể giao tiếp với máy chủ Command-and-Control (C2) bằng ba giao thức khác nhau.
CloudSorcerer là một mối đe dọa cửa sau phức tạp
CloudSorcerer là một công cụ gián điệp mạng tiên tiến được thiết kế để theo dõi bí mật, thu thập dữ liệu và đánh cắp dữ liệu thông qua Microsoft Graph, Yandex Cloud và Dropbox. Công cụ này sử dụng tài nguyên đám mây làm máy chủ C2, tương tác với chúng thông qua API và mã thông báo xác thực. Ban đầu, công cụ này sử dụng GitHub làm máy chủ C2 chính.
Phương pháp chính xác để xâm nhập mục tiêu vẫn chưa rõ ràng. Tuy nhiên, sau khi truy cập được, phần mềm độc hại sẽ triển khai một tệp nhị phân thực thi di động dựa trên C đóng vai trò là cửa hậu. Tệp nhị phân này khởi tạo giao tiếp C2 hoặc đưa shellcode vào các quy trình hợp lệ, chẳng hạn như mspaint.exe, msiexec.exe hoặc bất kỳ quy trình nào có chứa chuỗi 'browser'.
Thiết kế tinh vi của CloudSorcerer cho phép nó điều chỉnh hành vi dựa trên quy trình thực thi và sử dụng giao tiếp phức tạp giữa các quy trình thông qua các đường ống Windows.
Thành phần cửa sau được thiết kế để thu thập thông tin về máy của nạn nhân và thực hiện các lệnh để liệt kê các tệp và thư mục, chạy lệnh shell, thực hiện các thao tác tệp và triển khai các tải trọng bổ sung.
Mô-đun C2 kết nối với trang GitHub có chức năng như một trình giải quyết dead drop, truy xuất chuỗi hex được mã hóa trỏ đến máy chủ thực tế trên Microsoft Graph hoặc Yandex Cloud. Ngoài ra, CloudSorcerer cũng có thể truy cập dữ liệu từ hxxps://my.mail.ru/, một dịch vụ lưu trữ ảnh dựa trên đám mây của Nga, trong đó tên album chứa cùng một chuỗi hex.
Tội phạm mạng sử dụng CloudSorcerer để triển khai phần mềm độc hại giai đoạn tiếp theo
Phương pháp lây nhiễm ban đầu liên quan đến một tệp LNK bị xâm phạm sử dụng các kỹ thuật tải phụ DLL để thực thi một DLL gian lận. DLL này sử dụng Dropbox làm kênh liên lạc để thực hiện trinh sát và tải xuống các tải trọng bổ sung.
Một trong những chủng phần mềm độc hại được triển khai là GrewApacha, một cửa hậu trước đây liên quan đến nhóm APT31 có liên hệ với Trung Quốc. Cũng được khởi tạo thông qua tải phụ DLL, nó sử dụng hồ sơ GitHub do kẻ tấn công kiểm soát làm trình giải quyết thả chết để lưu trữ chuỗi được mã hóa Base64 trỏ đến máy chủ chỉ huy và kiểm soát (C2) thực tế.
Họ phần mềm độc hại khác được phát hiện trong các cuộc tấn công là PlugY, một cửa hậu đầy đủ tính năng kết nối với máy chủ quản lý bằng TCP, UDP hoặc đường ống được đặt tên và có khả năng thực thi lệnh shell, giám sát màn hình thiết bị, ghi lại các lần nhấn phím và chụp nội dung bảng tạm.
Phân tích mã nguồn của PlugX phát hiện ra những điểm tương đồng với một backdoor đã biết có tên là DRBControl (hay còn gọi là Clabling), được cho là do các cụm đe dọa China-nexus theo dõi là APT27 và APT41 . Những kẻ tấn công đằng sau chiến dịch EastWind đã sử dụng các dịch vụ mạng phổ biến như máy chủ lệnh, chẳng hạn như GitHub, Dropbox, Quora, Russian LiveJourna và Yandex Disk.
