Μια νέα hacking ομάδα (APT), με το όνομα CloudSorcerer, καταχράται δημόσιες υπηρεσίες cloud για να κλέβει δεδομένα από ρωσικούς κυβερνητικούς οργανισμούς.
Οι ερευνητές της Kaspersky ανακάλυψαν την ομάδα κυβερνοκατασκοπείας τον Μάιο του 2024. Αναφέρουν ότι η CloudSorcerer χρησιμοποιεί custom malware που χρησιμοποιεί νόμιμες υπηρεσίες cloud για λειτουργίες command and control (C2) και για αποθήκευση δεδομένων.
CloudSorcerer: Custom malware
Η Kaspersky δεν έδωσε λεπτομέρειες σχετικά με τον τρόπο που γίνεται η αρχική παραβίαση σε ένα δίκτυο. Αλλά λέει ότι γίνεται εκτέλεση ενός custom Windows backdoor manually.
Το κακόβουλο λογισμικό “συμπεριφέρεται” με συγκεκριμένο τρόπο. ανάλογα με το πού έχει εισαχθεί. Αυτό καθορίζεται μέσω του “GetModuleFileNameA“.
Δείτε επίσης: Dark Web malware εκθέτει 3.300 χρήστες που συνδέονται με site κακοποίησης παιδιών
Εάν εκτελείται μέσα από το “mspaint.exe“, λειτουργεί ως backdoor, συλλέγοντας δεδομένα και εκτελώντας κώδικα. Αν εκτελείται στο “msiexec.exe“, ξεκινά πρώτα την επικοινωνία C2 για να λάβει εντολές για εκτέλεση.
Η αρχική επικοινωνία είναι ένα request σε ένα GitHub repository που περιέχει ένα hexadecimal string που καθορίζει ποια υπηρεσία cloud θα χρησιμοποιηθεί για περαιτέρω λειτουργίες C2. Οι επιλογές είναι: Microsoft Graph, Yandex Cloud ή Dropbox.
Για διεργασίες που δεν αντιστοιχούν σε κανένα hardcoded behavior, το κακόβουλο λογισμικό εισάγει shellcode στη διαδικασία MSIexec, MSPaint ή Explorer και τερματίζει την αρχική διαδικασία.
Ο shellcode αναλύει το Process Environment Block (PEB) για να αναγνωρίσει Windows core DLL offsets, προσδιορίζει τα απαιτούμενα API των Windows χρησιμοποιώντας τον αλγόριθμο ROR14 και αντιστοιχεί τον κώδικα CloudSorcerer στη μνήμη των στοχευμένων διεργασιών.
Η ανταλλαγή δεδομένων μεταξύ των μονάδων οργανώνεται μέσω Windows pipes για απρόσκοπτη επικοινωνία μεταξύ των διεργασιών.
Δείτε επίσης: H KT κατηγορείται για μαζική επίθεση malware σε πελάτες
Η μονάδα backdoor, η οποία ασχολείται με την κλοπή δεδομένων, συλλέγει πληροφορίες συστήματος όπως όνομα υπολογιστή, όνομα χρήστη, Windows subversion και system uptime.
Υποστηρίζει επίσης μια σειρά από εντολές που ανακτώνται από το C2, όπως:
- Εκτέλεση εντολών Shell χρησιμοποιώντας το ‘ShellExecuteExW’ API
- Αντιγραφή, μετακίνηση, μετονομασία ή διαγραφή αρχείων
- Λήψη ενός shellcode και εισαγωγή σε οποιαδήποτε διαδικασία
- Λήψη ενός αρχείου PE, δημιουργία μιας ενότητας και αντιστοίχιση στην απομακρυσμένη διαδικασία
- Δημιουργία μιας διαδικασίας χρησιμοποιώντας COM interfaces
- Δημιουργία μιας διαδικασίας ως dedicated user
- Δημιουργία μιας νέας υπηρεσίας ή τροποποίηση μιας υπάρχουσας υπηρεσίας
- Προσθήκη νέων χρηστών δικτύου ή αφαίρεση νόμιμων χρηστών από το σύστημα
Από τα παραπάνω, είναι φανερό ότι το custom malware των hackers CloudSorcerer είναι ένα πολύ ισχυρό εργαλείο και επιτρέπει την αποτελεσματική κατασκοπεία και παραβίαση των συστημάτων των ρωσικών κυβερνητικών οργανισμών.
Δείτε επίσης: Ευπάθεια του Microsoft SmartScreen χρησιμοποιείται για διανομή info-stealer malware
Για την προστασία από το αυτό το custom backdoor και άλλα malware, είναι σημαντικό για τους οργανισμούς να εφαρμόζουν μέτρα ασφαλείας πολλαπλών επιπέδων. Αυτό περιλαμβάνει τακτικές ενημερώσεις λογισμικού, εκπαίδευση εργαζομένων σχετικά με τον εντοπισμό και την αποφυγή κακόβουλου περιεχομένου και την ύπαρξη ενός ισχυρού συστήματος δημιουργίας αντιγράφων ασφαλείας για τον μετριασμό των επιπτώσεων μιας επιτυχημένης επίθεσης. Επιπλέον, είναι σημαντικό για τους οργανισμούς να διαθέτουν ένα σχέδιο αντιμετώπισης περιστατικών σε περίπτωση επίθεσης.
Θυμηθείτε, η πρόληψη είναι πάντα καλύτερη από το να αντιμετωπίζετε τις συνέπειες μιας επιτυχημένης επίθεσης. Μείνετε ενημερωμένοι, μείνετε σε εγρήγορση και διατηρήστε ισχυρή την άμυνα του οργανισμού σας!
Πηγή: www.bleepingcomputer.com
