Un șir de atacuri cibernetice țintite care au început la sfârșitul lunii iulie 2024, vizând zeci de sisteme folosite în organizațiile guvernamentale ruse și companiile de IT, sunt legate de hackerii chinezi din grupurile APT31 și APT 27.
Kaspersky, care a descoperit activitatea, a numit campania „EastWind,” raportând că aceasta folosește o versiune actualizată a backdoor-ului CloudSorcerer observat într-o campanie similară de spionaj cibernetic din mai 2024, care viza, de asemenea, entități guvernamentale ruse.
Este important de menționat că activitatea CloudSorcerer nu este limitată doar la Rusia, deoarece Proofpoint a înregistrat un atac care viza un think tank cu sediul în SUA în mai 2024.
Infecția inițială se bazează pe e-mailuri de pescuit care transportă atașamente de arhivă RAR numite după ținta vizată, care folosesc încărcarea laterală DLL pentru a instala un backdoor pe sistem din Dropbox în timp ce deschid un document pentru înșelare.
Backdoor-ul poate naviga în sistemul de fișiere, executa comenzi, exfiltra date sau introduce încărcături suplimentare pe mașina compromisă.
Observațiile Kaspersky arată că atacatorii au folosit backdoor-ul pentru a introduce un troian numit ‘GrewApacha,’ care a fost asociat cu APT31.
Cea mai recentă variantă a lui GrewApacha prezintă unele îmbunătățiri față de ultima versiune analizată din 2023, inclusiv utilizarea a două servere de comenzi în loc de unul singur, stocând adresele lor într-un șir codat în base64 pe profilele de GitHub de unde malware-ul le citește.
Un alt malware încărcat de backdoor este o versiune actualizată a CloudSorcerer ambalată cu VMProtect pentru evitare.
CloudSorcerer folosește un mecanism de protecție a criptării proiectat pentru a împiedica execuția sa pe sistemele care nu sunt vizate, prin utilizarea unui proces unic de generare a cheii legat de mașina victimei.
La execuție, o utilitate (GetKey.exe) generează un număr unic de patru octeți din starea curentă a sistemului și îl criptează folosind funcția Windows CryptProtectData pentru a deriva un text cifrat unic, legat de sistem.
Dacă se încearcă executarea malware-ului pe orice altă mașină, cheia generată va diferi, astfel încât decriptarea încărcăturii CloudSorcerer va eșua.
Noua versiune a lui CloudSorcerer folosește, de asemenea, pagini de profil public pentru a-și obține adresa C2 inițială, dar acum a trecut de la GitHub la utilizarea Quora și rețeaua socială rusă LiveJournal în acest scop.
Al treilea implant văzut în atacurile EastWind, introdus printr-o CloudSorcered, este PlugY, un backdoor anterior necunoscut.
PlugY prezintă o mare versatilitate în comunicările sale C2 și capacitatea de a executa comenzi pentru operațiuni de fișiere, executare de comenzi shell, capturare de ecran, înregistrare de taste și monitorizare a clipboard-ului.
Analiza Kaspersky indică faptul că codul folosit în PlugY a fost văzut anterior în atacurile grupului de amenințări APT27.
De asemenea, o bibliotecă folosită pentru comunicările C2 prin protocolul UDP este găsită doar în DRBControl și PlugX, instrumente malware utilizate extensiv de actorii de amenințări chineze.
Kaspersky comentează că, deoarece backdoor-urile utilizate în atacurile EastWind sunt remarcabil diferite, detectarea lor pe o mașină compromisă este dificilă. Unele lucruri de urmărit sunt:
Firma de securitate cibernetică rusă concluzionează că APT27 și APT31 probabil lucrează împreună în EastWind.
Acest caz evidențiază interacțiunea complexă dintre țările aliate cu legături diplomatice puternice și obiective strategice comune, dar cu operațiuni active de spionaj cibernetic împotriva celorlalți.
Colaborarea în domeniile economic, de securitate și militar nu exclude agențiile de informații care operează în umbre din lansarea unor operațiuni de spionaj sofisticate și îngust direcționate pentru a colecta informații valoroase.
Leave a Reply