Новости CloudSorcerer: хакеры шпионят за российскими чиновниками через Microsoft Graph, Yandex Cloud и Dropbox

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Госорганы столкнулись с изощренной облачной атакой.


ncdptqehji1bfz7klsvmzcb0dg0t98a8.jpg


В мае 2024 года российские государственные организации столкнулись с новой, особо сложной кибератакой, которую Для просмотра ссылки Войди или Зарегистрируйся CloudSorcerer. Этот мощный инструмент кибершпионажа предназначен для незаметного наблюдения, сбора и выведения данных через облачные сервисы Microsoft Graph, Yandex Cloud и Dropbox. Уникальность CloudSorcerer заключается в использовании этих облачных платформ в качестве командных серверов, с которыми вредоносное ПО взаимодействует посредством API и токенов аутентификации. Интересно, что репозиторий на GitHub также выступает в роли начального командного сервера.

CloudSorcerer напоминает APT-угрозу CloudWizard, выявленную в 2023 году. Однако, несмотря на сходство в принципе действия, новый вредонос имеет совершенно иной код, что указывает на работу другой хакерской группы, использующей аналогичные методы взаимодействия с облачными сервисами.

Особенности CloudSorcerer

CloudSorcerer представляет собой многоуровневую угрозу, используя публичные облачные сервисы для управления и координации своих операций. Вредоносная программа взаимодействует с командными серверами через специальные команды, которые она декодирует с помощью заданной таблицы символов. Злоумышленники также задействуют интерфейсы COM-объектов Microsoft для выполнения вредоносных операций.

Функционирование CloudSorcerer зависит от процесса, в котором он запущен. Первоначально представляя собой один бинарный файл, написанный на языке C, программа адаптирует свою функциональность в зависимости от запущенного процесса. Например, при запуске в процессе mspaint.exe CloudSorcerer выполняет роль бэкдора, осуществляя сбор данных и выполнение вредоносного кода. Если же процесс — msiexec.exe, зловред инициирует модуль связи с командным сервером.

Технические детали

CloudSorcerer запускается вручную на уже зараженном компьютере. При запуске вредонос вызывает функцию GetModuleFileNameA для определения имени процесса, в котором он запущен, и сравнивает его с заданным набором строк: browser, mspaint.exe и msiexec.exe. В зависимости от имени процесса CloudSorcerer активирует различные функции, такие как сбор данных или связь с командным сервером.

Шелл-код, используемый для миграции процесса, демонстрирует стандартные функции, включая анализ блока операционного окружения процесса (PEB) и внедрение кода в память целевых процессов.

<div> Модуль бэкдора CloudSorcerer Этот модуль начинает свою работу с сбора системной информации о зараженном компьютере, включая имя компьютера, имя пользователя, сведения о версии Windows и время работы системы. Собранные данные сохраняются в специально созданной структуре и передаются через именованный канал \.\PIPE[1428] к процессу модуля командного сервера.

Модуль командного сервера

При запуске модуль командного сервера создает новый канал Windows и настраивает соединение с начальным командным сервером. Программа подключается к странице на GitHub или российскому облачному фотохостингу Mail.ru для получения закодированных данных. Эти данные включают командные инструкции, которые затем расшифровываются и выполняются.

Инфраструктура и атрибуция

Страница на GitHub, используемая для начального обмена данными, была создана в мае 2024 года. Интересно, что имя репозитория — Alina Egorova, распространенное русское имя, хотя на фото изображен мужчина. Похожие методы были задействованы и на Mail.ru.

Выводы

CloudSorcerer представляет собой тщательно разработанную киберугрозу, направленную на российские государственные организации. Использование облачных сервисов для командных серверов и сложные методы межпроцессного взаимодействия подчеркивают высокий уровень подготовки кибершпионов. Несмотря на сходство с CloudWizard, значительные различия в коде указывают на работу новой APT-группы, которая вдохновлялась <span style="background: white;">ранее встречавшимися</span> методами, но создала уникальные инструменты для атаки.
 
Источник новости
www.securitylab.ru

Похожие темы