В мае 2024 года была обнаружилена новая продолжительная атака повышенной сложности (advanced persistent threat, APT), нацеленную на российские государственные организации. Ей дали название CloudSorcerer. Это сложное средство кибершпионажа, предназначенное для скрытого мониторинга, сбора и эксфильтрации данных через облачные службы Microsoft Graph, Yandex Cloud и Dropbox.
Зловред использует их как командные серверы и взаимодействует с ними через API с помощью токенов аутентификации. Кроме того, в роли начального командного сервера CloudSorcerer выступает репозиторий GitHub.
По принципу действия CloudSorcerer напоминает APT-угрозу CloudWizard, о которой сообщалось в 2023 году. Однако код новой вредоносной программы совершенно иной. Есть мнение, что за CloudSorcerer стоит новая APT-группа, применившая аналогичный метод взаимодействия с публичными облачными службами.
По принципу действия CloudSorcerer напоминает APT-угрозу CloudWizard, о которой сообщалось в 2023 году. Однако код новой вредоносной программы совершенно иной. Есть мнение, что за CloudSorcerer стоит новая APT-группа, применившая аналогичный метод взаимодействия с публичными облачными службами.
Постоянная серьезная угроза (англ. advanced persistent threat, APT) — термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак
Кратко о новых находках
◆ APT-угроза CloudSorcerer использует публичные облачные службы в качестве основных командных серверов.
◆ Зловред взаимодействует с командными серверами с помощью специальных команд и декодирует их, руководствуясь заданной таблицей символов.
◆ Для осуществления вредоносных операций злоумышленник также применяет интерфейсы COM-объектов Microsoft.
◆ CloudSorcerer работает как отдельные модули (связи и сбора данных) в зависимости от запущенного процесса, но запускается из одного исполняемого файла.
◆ Зловред взаимодействует с командными серверами с помощью специальных команд и декодирует их, руководствуясь заданной таблицей символов.
◆ Для осуществления вредоносных операций злоумышленник также применяет интерфейсы COM-объектов Microsoft.
◆ CloudSorcerer работает как отдельные модули (связи и сбора данных) в зависимости от запущенного процесса, но запускается из одного исполняемого файла.
Модуль бэкдора, выполняемый в отдельном потоке, начинает со сбора различной системной информации о пораженном компьютере.
Выводы
Вредоносная программа CloudSorcerer — это комплексный набор инструментов, нацеленных на российские государственные организации. Применение облачных служб, таких как Microsoft Graph, Yandex Cloud и Dropbox в качестве инфраструктуры командного сервера, а также GitHub для первоначального обмена данными с командным сервером указывает на кибершпионаж с тщательно спланированным подходом.
Способность вредоносной программы динамически адаптировать свое поведение в зависимости от процесса, в котором она запущена, а также использовать сложное межпроцессное взаимодействие через каналы Windows еще больше подчеркивает ее проработанность.
Несмотря на сходство с ранее зарегистрированной APT-угрозой CloudWizard, значительные различия в коде и функциональности указывают на то, что за CloudSorcerer стоит новая APT-группа. Возможно, она вдохновлялась ранее встречавшимися методами, но разработала свои собственные уникальные инструменты.
Источник: securelist.ru | Теги: кибершпионаж, APT-угроза