Un nou grup de amenințări persistente avansate (APT) numit CloudSorcerer abuzează de serviciile de cloud public pentru a fura date de la organizațiile guvernamentale ruse în atacuri de cyberspionaj.
Cercetătorii de securitate de la Kaspersky au descoperit grupul de cyberspionaj în mai 2024. Ei raportează că CloudSorcerer folosește malware personalizat care utilizează servicii de cloud legitime pentru operațiuni de comandă și control (C2) și stocare de date.
Kaspersky menționează că modus operandi al CloudSorcerer este similar cu al APT-ului CloudWizard, dar malware-ul lor este distinct, ceea ce îi determină pe cercetătorii de securitate să creadă că acesta este un nou actor de amenințare.
Deși Kaspersky nu explică cum actorii de amenințare pătrund inițial într-o rețea, ei spun că execută backdoor-ul Windows personalizat manual.
Malware-ul are un comportament specific procesului în funcție de locul în care a fost injectat, pe care îl determină folosind ‘GetModuleFileNameA.’
Dacă este executat din interiorul ‘mspaint.exe,’ acționează ca un backdoor, colectând date și executând cod. Cu toate acestea, dacă este lansat în ‘msiexec.exe,’ inițiază mai întâi comunicarea C2 pentru a primi comenzi de executare.
Comunicarea inițială este o solicitare către un depozit GitHub (activ în momentul redactării) care conține un șir hexazecimal care determină ce serviciu de cloud să folosească pentru operațiuni C2 ulterioare: Microsoft Graph, Yandex Cloud sau Dropbox.
Pentru procesele care nu se potrivesc cu niciun comportament codat în prealabil, malware-ul injectează shellcode în procesul MSIexec, MSPaint sau Explorer și întrerupe procesul inițial.
Shellcode-ul analizează Blocul de Mediu al Procesului (PEB) pentru a identifica deplasările DLL de bază Windows, identifică API-urile Windows necesare folosind algoritmul ROR14 și mapează codul CloudSorcerer în memoria proceselor vizate.
Schimbul de date între module este organizat prin conducte Windows pentru o comunicare interproces eficientă.
Modulul backdoor, care efectuează furtul de date, colectează informații de sistem cum ar fi numele computerului, numele utilizatorului, subversiunea Windows și timpul de funcționare al sistemului.
De asemenea, acesta suportă o serie de comenzi preluate de la C2, inclusiv:
În ansamblu, backdoor-ul CloudSorcerer este o unealtă puternică care permite actorilor de amenințare să desfășoare acțiuni maligne pe mașinile infectate.
Kaspersky caracterizează atacurile CloudSorcerer ca fiind extrem de sofisticate datorită adaptării dinamice a malware-ului și mecanismelor de comunicare de date discrete.
Indicii de compromis (IoC) și regulile Yara pentru detectarea malware-ului CloudSorcerer sunt disponibile în partea de jos a raportului Kaspersky.
Leave a Reply