CloudSorcerer-Hintertür

Eine neue Spear-Phishing-Kampagne namens EastWind zielt auf die russische Regierung und IT-Organisationen ab. Die Kampagne liefert eine Vielzahl von Backdoors und Trojanern.

Diese Angriffssequenz beginnt normalerweise mit RAR-Archivanhängen, die eine Windows-Verknüpfungsdatei (LNK) enthalten. Beim Öffnen löst diese Datei eine Reihe von Aktionen aus, die letztendlich zur Bereitstellung von Malware führen, darunter GrewApacha, eine aktualisierte Version der CloudSorcerer-Hintertür und ein bisher unbekanntes Implantat namens PlugY. PlugY wird über die CloudSorcerer-Hintertür heruntergeladen, verfügt über eine breite Palette von Befehlen und kann über drei verschiedene Protokolle mit dem Command-and-Control-Server (C2) kommunizieren.

CloudSorcerer ist eine komplexe Backdoor-Bedrohung

CloudSorcerer ist ein fortschrittliches Cyber-Spionage-Tool, das für die verdeckte Überwachung, Datenerfassung und Exfiltration über Microsoft Graph, Yandex Cloud und Dropbox entwickelt wurde. Es verwendet Cloud-Ressourcen als C2-Server und interagiert mit ihnen über APIs und Authentifizierungstoken. Zunächst verwendet es GitHub als primären C2-Server.

Die genaue Methode der Zielinfiltration bleibt unklar. Sobald jedoch Zugriff erlangt wurde, setzt die Malware eine C-basierte portable ausführbare Binärdatei ein, die als Hintertür dient. Diese Binärdatei initiiert C2-Kommunikation oder fügt Shellcode in legitime Prozesse ein, wie etwa mspaint.exe, msiexec.exe oder jeden Prozess, der die Zeichenfolge „Browser“ enthält.

Das ausgeklügelte Design von CloudSorcerer ermöglicht es, sein Verhalten basierend auf dem ausgeführten Prozess anzupassen und eine komplexe Interprozesskommunikation über Windows-Pipes zu nutzen.

Die Backdoor-Komponente ist darauf ausgelegt, Informationen über den Computer des Opfers zu sammeln und Anweisungen zum Auflisten von Dateien und Ordnern, Ausführen von Shell-Befehlen, Durchführen von Dateivorgängen und Bereitstellen zusätzlicher Nutzdaten auszuführen.

Das C2-Modul stellt eine Verbindung zu einer GitHub-Seite her, die als Dead-Drop-Resolver fungiert und einen codierten Hex-String abruft, der auf den tatsächlichen Server in Microsoft Graph oder Yandex Cloud verweist. Alternativ kann CloudSorcerer auch auf Daten von hxxps://my.mail.ru/ zugreifen, einem russischen Cloud-basierten Foto-Hosting-Dienst, bei dem der Albumname denselben Hex-String enthält.

Cyberkriminelle nutzen CloudSorcerer, um Malware der nächsten Stufe zu verbreiten

Die erste Infektionsmethode umfasst eine kompromittierte LNK-Datei, die DLL-Sideloading-Techniken verwendet, um eine betrügerische DLL auszuführen. Diese DLL nutzt Dropbox als Kommunikationskanal, um Aufklärung zu betreiben und zusätzliche Payloads herunterzuladen.

Einer der eingesetzten Malware-Stämme ist GrewApacha, eine Backdoor, die zuvor mit der mit China verbundenen APT31- Gruppe in Verbindung gebracht wurde. Sie wird ebenfalls durch DLL-Sideloading initiiert und verwendet ein vom Angreifer kontrolliertes GitHub-Profil als Dead-Drop-Resolver, um eine Base64-codierte Zeichenfolge zu speichern, die auf den eigentlichen Command-and-Control-Server (C2) verweist.

Bei der anderen bei den Angriffen beobachteten Malware-Familie handelt es sich um PlugY, eine voll funktionsfähige Hintertür, die über TCP, UDP oder Named Pipes eine Verbindung zu einem Verwaltungsserver herstellt und über die Möglichkeit verfügt, Shell-Befehle auszuführen, den Gerätebildschirm zu überwachen, Tastatureingaben zu protokollieren und den Inhalt der Zwischenablage zu erfassen.

Eine Quellcodeanalyse von PlugX deckte Ähnlichkeiten mit einer bekannten Hintertür namens DRBControl (auch bekannt als Clambling) auf, die den Bedrohungsclustern mit China-Nexus zugeschrieben wird, die als APT27 und APT41 verfolgt werden. Die Angreifer hinter der EastWind-Kampagne nutzten beliebte Netzwerkdienste wie Befehlsserver wie GitHub, Dropbox, Quora, Russian LiveJourna und Yandex Disk.