CloudSorcerer 后门

一项名为 EastWind 的新鱼叉式网络钓鱼活动针对俄罗斯政府和 IT 组织。该活动提供了各种后门和木马。

这种攻击序列通常以包含 Windows 快捷方式 (LNK) 文件的 RAR 存档附件开始。打开后，此文件会触发一系列操作，最终导致恶意软件的部署，包括 GrewApacha、CloudSorcerer 后门的更新版本以及名为 PlugY 的以前未知的植入程序。PlugY 是通过 CloudSorcerer 后门下载的，具有多种命令，并且可以使用三种不同的协议与命令和控制 (C2) 服务器进行通信。

CloudSorcerer 是一种复杂的后门威胁

CloudSorcerer 是一款先进的网络间谍工具，旨在通过 Microsoft Graph、Yandex Cloud 和 Dropbox 进行隐蔽监控、数据收集和泄露。它使用云资源作为其 C2 服务器，并通过 API 和身份验证令牌与它们交互。最初，它使用 GitHub 作为其主要 C2 服务器。

目标渗透的具体方法尚不清楚。但是，一旦获得访问权限，恶意软件就会部署一个基于 C 的可移植可执行二进制文件作为后门。此二进制文件启动 C2 通信或将 shellcode 注入合法进程，例如 mspaint.exe、msiexec.exe 或任何包含字符串“browser”的进程。

CloudSorcerer 的复杂设计使其能够根据执行过程调整其行为，并通过 Windows 管道利用复杂的进程间通信。

后门组件专门用于收集有关受害者机器的信息并执行指令来枚举文件和文件夹、运行 shell 命令、执行文件操作以及部署其他有效载荷。

C2 模块连接到充当死信箱解析器的 GitHub 页面，检索指向 Microsoft Graph 或 Yandex Cloud 上的实际服务器的编码十六进制字符串。或者，CloudSorcerer 还可以访问来自 hxxps://my.mail.ru/（俄罗斯基于云的照片托管服务）的数据，其中相册名称包含相同的十六进制字符串。

网络犯罪分子利用 CloudSorcerer 部署下一阶段恶意软件

初始感染方法涉及一个受感染的 LNK 文件，该文件使用 DLL 侧载技术来执行欺诈性 DLL。此 DLL 利用 Dropbox 作为通信渠道进行侦察并下载其他有效载荷。

部署的恶意软件之一是 GrewApacha，这是之前与中国相关的APT31组织有关联的后门。它也是通过 DLL 侧载启动的，它使用攻击者控制的 GitHub 配置文件作为死信解析器来存储指向实际命令和控制 (C2) 服务器的 Base64 编码字符串。

在攻击中观察到的另一个恶意软件家族是 PlugY，这是一个功能齐全的后门，它使用 TCP、UDP 或命名管道连接到管理服务器，并具有执行 shell 命令、监视设备屏幕、记录击键和捕获剪贴板内容的功能。

PlugX 的源代码分析发现，它与一个已知后门 DRBControl（又名 Clambling）有相似之处，后者被归因于被追踪为APT27和APT41的中国威胁集群。EastWind 活动背后的攻击者使用了流行的网络服务，例如命令服务器，例如 GitHub、Dropbox、Quora、俄罗斯 LiveJourna 和 Yandex Disk。