CloudSorcerer バックドア

EastWind と呼ばれる新しいスピアフィッシング攻撃は、ロシア政府と IT 組織をターゲットにしています。この攻撃は、さまざまなバックドアやトロイの木馬を配信します。

この攻撃シーケンスは、通常、Windows ショートカット (LNK) ファイルを含む RAR アーカイブ添付ファイルから始まります。このファイルを開くと、一連のアクションがトリガーされ、最終的には GrewApacha、CloudSorcerer バックドアの更新バージョン、およびこれまで知られていなかった PlugY というインプラントなどのマルウェアが展開されます。PlugY は CloudSorcerer バックドア経由でダウンロードされ、さまざまなコマンドを備えており、3 つの異なるプロトコルを使用してコマンド アンド コントロール (C2) サーバーと通信できます。

CloudSorcererは複雑なバックドアの脅威です

CloudSorcerer は、Microsoft Graph、Yandex Cloud、Dropbox を介した秘密の監視、データ収集、および流出を目的として設計された高度なサイバースパイツールです。クラウドリソースを C2 サーバーとして使用し、API と認証トークンを介してそれらとやり取りします。当初は、GitHub を主要な C2 サーバーとして使用していました。

ターゲットへの侵入の正確な方法は不明です。しかし、アクセスが成功すると、マルウェアはバックドアとして機能する C ベースのポータブル実行可能バイナリを展開します。このバイナリは C2 通信を開始したり、mspaint.exe、msiexec.exe、または「browser」という文字列を含むプロセスなどの正当なプロセスにシェルコードを挿入したりします。

CloudSorcerer の洗練された設計により、実行プロセスに基づいて動作を調整し、Windows パイプを介して複雑なプロセス間通信を利用できます。

バックドア コンポーネントは、被害者のマシンに関する情報を収集し、ファイルとフォルダーを列挙し、シェル コマンドを実行し、ファイル操作を実行し、追加のペイロードを展開するための命令を実行するように調整されています。

C2 モジュールは、デッド ドロップ リゾルバとして機能する GitHub ページに接続し、Microsoft Graph または Yandex Cloud 上の実際のサーバーを指すエンコードされた 16 進文字列を取得します。また、CloudSorcerer は、アルバム名に同じ 16 進文字列が含まれるロシアのクラウド ベースの写真ホスティング サービスである hxxps://my.mail.ru/ のデータにアクセスすることもあります。

サイバー犯罪者はCloudSorcererを使用して次の段階のマルウェアを展開する

最初の感染方法では、DLL サイドローディング技術を使用して不正な DLL を実行する侵害された LNK ファイルが使われます。この DLL は、偵察を実行し、追加のペイロードをダウンロードするための通信チャネルとして Dropbox を利用します。

展開されたマルウェアの 1 つは GrewApacha で、これは以前中国に関連するAPT31グループに関連付けられていたバックドアです。これも DLL サイドローディングによって開始され、攻撃者が制御する GitHub プロファイルをデッドドロップ リゾルバとして使用し、実際のコマンド アンド コントロール (C2) サーバーを指す Base64 エンコードされた文字列を保存します。

攻撃で確認されたもう 1 つのマルウェア ファミリは PlugY です。これは、TCP、UDP、または名前付きパイプを使用して管理サーバーに接続し、シェル コマンドの実行、デバイス画面の監視、キーストロークのログ記録、クリップボードの内容のキャプチャなどの機能を備えたフル機能のバックドアです。

PlugX のソースコード分析により、DRBControl (別名 Clambling) と呼ばれる既知のバックドアとの類似点が明らかになりました。これは、 APT27およびAPT41として追跡されている中国関連の脅威クラスターに起因するものです。EastWind キャンペーンの背後にいる攻撃者は、GitHub、Dropbox、Quora、ロシアの LiveJourna、Yandex Disk などのコマンドサーバーなど、一般的なネットワークサービスを使用していました。