Kínai kiberszereplők az orosz kormányt és informatikai cégeket veszik célba
Az APT31 és APT 27 csoportok kínai hackereihez köthető az a célzott kibertámadás-sorozat, amely 2024. július végén kezdődött, és az orosz kormányzati szervezetek és informatikai vállalatok több tucatnyi rendszerét vette célba. A Kaspersky, amely felfedezte a tevékenységet, a kampányt “EastWind”-nek nevezte el, és arról számolt be, hogy a CloudSorcerer backdoor frissített változatát használja, amelyet egy hasonló, 2024. májusában indított, szintén orosz kormányzati szervezeteket célzó kiberkémkedési kampányban észleltek.
A kezdeti fertőzés a célpontról elnevezett RAR-archívumokat tartalmazó adathalász e-mailekre támaszkodik, amelyek DLL sideloading-ot alkalmaznak, hogy a Dropboxból backdoor-t dobjanak a rendszerbe, miközben megnyitnak egy dokumentumot a megtévesztés érdekében. A backdoor képes navigálni a fájlrendszerben, parancsokat végrehajtani, adatokat kiszivárogtatni, vagy további hasznos terheket juttatni a fertőzött gépre. A Kaspersky megfigyelései szerint a támadók a backdoor-t egy “GrewApacha” nevű trójai bevezetésére használták, amelyet az APT31 csoporttal hoztak összefüggésbe. A GrewApacha legújabb változata a legutóbbi, 2023-as elemzett változathoz képest néhány fejlesztést tartalmaz, többek között egy helyett két parancsszerver használatát, valamint a címük tárolását egy base64-kódolt karakterláncban a GitHub-profilokon, ahonnan a kártevő olvassa azt.
A backdoor által betöltött másik kártevő a CloudSorcerer frissített változata, amely a VMProtect-el van csomagolva a kitérés érdekében. A CloudSorcerer egy olyan titkosítási védelmi mechanizmust használ, amelyet úgy terveztek, hogy megakadályozza a végrehajtását a nem célzott rendszereken egy egyedi, az áldozat gépéhez kötött kulcsgenerálási folyamat alkalmazásával. Futtatáskor egy segédprogram (GetKey.exe) a rendszer aktuális állapotából egy egyedi, négy bájtos számot generál, majd a Windows CryptProtectData funkciójának segítségével titkosítja azt, hogy egy egyedi, rendszerhez kötött rejtjelezett szöveget kapjon. Ha a rosszindulatú programot más gépen próbálják meg futtatni, a generált kulcs különbözni fog, így a CloudSorcerer hasznos terhelésének visszafejtése sikertelen lesz.
Az EastWind támadásokban látott harmadik implantátum, amelyet a CloudSorcereren keresztül vezettek be, a PlugY, egy korábban ismeretlen backdoor. A PlugY nagyfokú sokoldalúsággal rendelkezik a C2-kommunikációban, és képes fájlműveletekre, shellparancsok végrehajtására, képernyőkép készítésre, billentyűzetnaplózásra és vágólapfigyelésre szolgáló parancsok végrehajtására. A Kaspersky elemzése szerint a PlugY-ban használt kódot korábban már látták az APT27 csoport támadásaiban. Emellett az UDP protokollon keresztül történő C2-kommunikációhoz használt könyvtár csak a DRBControlban és a PlugX-ben található meg, amelyek a kínai fenyegetőszereplők által széles körben használt rosszindulatú eszközök.
