雲魔法師後門

一種名為 EastWind 的新魚叉式網路釣魚活動針對的是俄羅斯政府和 IT 組織。活動提供了各種後門和木馬。

此攻擊序列通常從包含 Windows 捷徑 (LNK) 檔案的 RAR 存檔附件開始。開啟後，該檔案會觸發一系列操作，最終導致惡意軟體的部署，包括 GrewApacha、CloudSorcerer 後門的更新版本以及名為 PlugY 的先前未知植入程式。 PlugY 是透過 CloudSorcerer 後門下載的，具有多種命令，並且可以使用三種不同的協定與命令和控制 (C2) 伺服器進行通訊。

CloudSorcerer 是一個複雜的後門威脅

CloudSorcerer 是一種先進的網路間諜工具，旨在透過 Microsoft Graph、Yandex Cloud 和 Dropbox 進行秘密監控、資料收集和滲透。它使用雲端資源作為其 C2 伺服器，透過 API 和身份驗證令牌與其進行互動。最初，它使用 GitHub 作為其主要 C2 伺服器。

目標滲透的確切方法仍不清楚。然而，一旦獲得存取權限，惡意軟體就會部署一個基於 C 的可移植可執行二進位檔案作為後門。該二進位檔案啟動 C2 通訊或將 shellcode 注入合法進程，例如 mspaint.exe、msiexec.exe 或任何包含字串「browser」的進程。

CloudSorcerer 的複雜設計使其能夠根據執行進程調整其行為，並透過 Windows 管道利用複雜的進程間通訊。

後門元件專門用於收集有關受害者電腦的資訊並執行指令以枚舉檔案和資料夾、執行 shell 命令、執行檔案操作以及部署其他有效負載。

C2 模組連接到充當死點解析器的 GitHub 頁面，檢索指向 Microsoft Graph 或 Yandex Cloud 上實際伺服器的編碼十六進位字串。或者，CloudSorcerer 還可以存取來自 hxxps://my.mail.ru/（俄羅斯基於雲端的照片託管服務）的數據，其中相簿名稱包含相同的十六進位字串。

網路犯罪分子使用 CloudSorcerer 部署下一代惡意軟體

最初的感染方法涉及受損的 LNK 文件，該文件使用 DLL 旁加載技術來執行欺詐性 DLL。此 DLL 利用 Dropbox 作為通訊通道來執行偵察並下載額外的有效負載。

已部署的惡意軟體菌株之一是 GrewApacha，這是一個先前與中國相關的APT31組織相關的後門。同樣透過 DLL 側面載入啟動，它使用攻擊者控制的 GitHub 設定檔作為死點解析器來儲存指向實際命令和控制 (C2) 伺服器的 Base64 編碼字串。

攻擊中觀察到的另一個惡意軟體家族是PlugY，它是一個功能齊全的後門，使用TCP、UDP 或命名管道連接到管理伺服器，並具有執行shell 命令、監控設備螢幕、記錄擊鍵和捕獲剪貼板內容的功能。

PlugX 的原始碼分析發現了與名為 DRBControl（又稱 Clambling）的已知後門的相似之處，該後門被歸因於追蹤為APT27和APT41的中國關係威脅集群。 EastWind 活動背後的攻擊者使用流行的網路服務，例如命令伺服器，例如 GitHub、Dropbox、Quora、Russian LiveJourna 和 Yandex Disk。