Egy új APT csoport, a “CloudSorcerer” célpontjai az orosz kormányzati szervek

July 8, 2024 Yanac APT, CloudSorcerer, CloudWizard, Kiberkémkedés, Oroszország

A CloudSorcerer nevű, nemrégiben azonosított fejlett tartós fenyegetés (APT) csoport orosz kormányzati ügynökségeket vett célba, és felhőszolgáltatásokat használt fel C2 szervereinek hosztolására és adatlopási célokra. A Kaspersky kiberbiztonsági cég 2024 májusában fedezte fel a csoportot, és megállapította, hogy az azonosított módszerei hasonló egy másik fenyegető szereplőhöz, a CloudWizardhoz, de előbbi egyedi kártevő forráskódokat használ. A csoport innovatív adatgyűjtő programot és különböző kitérési taktikákat alkalmaz, a rosszindulatú szoftverük pedig kifinomult kiberkémkedési eszközként képes működni, amely lopakodó megfigyeléssel, adatgyűjtéssel és adatszerzéssel foglalkozik, felhőinfrastruktúrák – Microsoft Graph, Yandex Cloud, Dropbox – felhasználásával, valamint a C2-szerverek API-jainak kihasználásával.

A célpontokhoz való kezdeti hozzáférési módszer jelenleg ismeretlen. A Kaspersky kutatói megjegyezték azonban, hogy egy hordozható futtatható bináris állomány kerül ledobásra, és azt használják hátsó ajtóként, valamint C2 kommunikáció kezdeményezésére, vagy shellcode befecskendezésére ismert folyamatokba. A kártevő adaptív jellege, valamint a Windows pipe-okon keresztüli összetett kommunikáció is a támadók kifinomultságára utal. A backdoor komponens információkat gyűjt az áldozat gépéről, és utasításokat kér le olyan műveletek elvégzéséhez, mint a fájlok és mappák felsorolása, shell parancsok végrehajtása és fájlok futtatása, beleértve további hasznos terhek letöltését is.

A C2 modul kezdetben egy GitHub oldalhoz csatlakozik, majd egy hex kódolt karakterláncot tölt le, amely a Microsoft Graph vagy a Yandex Cloud tényleges kiszolgálója felé irányít. Alternatívaként a CloudSorcerer további adatforrásként egy orosz felhőalapú fotó hosting szervert is használhat. A Kaspersky kiemeli, hogy a CloudSorcerer egy kifinomult kiberkémkedési eszközkészletet képvisel, amely orosz kormányzati szervezeteket támad a felhőszolgáltatások ravasz felhasználásával a kiberkémkedési erőfeszítéseihez. A több online platformot kihasználó, éles és jól strukturált megközelítés jelentős fejlődést jelent a kiberkémkedési technikák terén.

(forrás)