Госорганы столкнулись с изощренной облачной атакой.
В мае 2024 года российские государственные организации столкнулись с новой, особо сложной кибератакой, которую специалисты окрестили CloudSorcerer. Этот мощный инструмент кибершпионажа предназначен для незаметного наблюдения, сбора и выведения данных через облачные сервисы Microsoft Graph, Yandex Cloud и Dropbox. Уникальность CloudSorcerer заключается в использовании этих облачных платформ в качестве командных серверов, с которыми вредоносное ПО взаимодействует посредством API и токенов аутентификации. Интересно, что репозиторий на GitHub также выступает в роли начального командного сервера.
CloudSorcerer напоминает APT-угрозу CloudWizard, выявленную в 2023 году. Однако, несмотря на сходство в принципе действия, новый вредонос имеет совершенно иной код, что указывает на работу другой хакерской группы, использующей аналогичные методы взаимодействия с облачными сервисами.
Особенности CloudSorcerer
CloudSorcerer представляет собой многоуровневую угрозу, используя публичные облачные сервисы для управления и координации своих операций. Вредоносная программа взаимодействует с командными серверами через специальные команды, которые она декодирует с помощью заданной таблицы символов. Злоумышленники также задействуют интерфейсы COM-объектов Microsoft для выполнения вредоносных операций.
Функционирование CloudSorcerer зависит от процесса, в котором он запущен. Первоначально представляя собой один бинарный файл, написанный на языке C, программа адаптирует свою функциональность в зависимости от запущенного процесса. Например, при запуске в процессе mspaint.exe CloudSorcerer выполняет роль бэкдора, осуществляя сбор данных и выполнение вредоносного кода. Если же процесс — msiexec.exe, зловред инициирует модуль связи с командным сервером.
Технические детали
CloudSorcerer запускается вручную на уже зараженном компьютере. При запуске вредонос вызывает функцию GetModuleFileNameA для определения имени процесса, в котором он запущен, и сравнивает его с заданным набором строк: browser, mspaint.exe и msiexec.exe. В зависимости от имени процесса CloudSorcerer активирует различные функции, такие как сбор данных или связь с командным сервером.
Шелл-код, используемый для миграции процесса, демонстрирует стандартные функции, включая анализ блока операционного окружения процесса (PEB) и внедрение кода в память целевых процессов.
Этот модуль начинает свою работу с сбора системной информации о зараженном компьютере, включая имя компьютера, имя пользователя, сведения о версии Windows и время работы системы. Собранные данные сохраняются в специально созданной структуре и передаются через именованный канал \.\PIPE[1428] к процессу модуля командного сервера.
Модуль командного сервера
При запуске модуль командного сервера создает новый канал Windows и настраивает соединение с начальным командным сервером. Программа подключается к странице на GitHub или российскому облачному фотохостингу Mail.ru для получения закодированных данных. Эти данные включают командные инструкции, которые затем расшифровываются и выполняются.
Инфраструктура и атрибуция
Страница на GitHub, используемая для начального обмена данными, была создана в мае 2024 года. Интересно, что имя репозитория — Alina Egorova, распространенное русское имя, хотя на фото изображен мужчина. Похожие методы были задействованы и на Mail.ru.
Выводы
CloudSorcerer представляет собой тщательно разработанную киберугрозу, направленную на российские государственные организации. Использование облачных сервисов для командных серверов и сложные методы межпроцессного взаимодействия подчеркивают высокий уровень подготовки кибершпионов. Несмотря на сходство с CloudWizard, значительные различия в коде указывают на работу новой APT-группы, которая вдохновлялась ранее встречавшимися методами, но создала уникальные инструменты для атаки.
Ладно, не доказали. Но мы работаем над этим