Puerta trasera de CloudSorcerer
Una nueva campaña de phishing, denominada EastWind, tiene como objetivo al gobierno ruso y a las organizaciones de TI. La campaña distribuye una variedad de puertas traseras y troyanos.
Esta secuencia de ataque suele comenzar con archivos adjuntos RAR que contienen un archivo de acceso directo de Windows (LNK). Cuando se abre, este archivo desencadena una serie de acciones que finalmente resultan en la implementación de malware, incluido GrewApacha, una versión actualizada de la puerta trasera CloudSorcerer y un implante previamente desconocido llamado PlugY. PlugY se descarga a través de la puerta trasera CloudSorcerer, presenta una amplia gama de comandos y puede comunicarse con el servidor de Comando y Control (C2) utilizando tres protocolos diferentes.
CloudSorcerer es una amenaza de puerta trasera compleja
CloudSorcerer es una herramienta avanzada de ciberespionaje diseñada para el monitoreo encubierto, la recopilación de datos y la exfiltración a través de Microsoft Graph, Yandex Cloud y Dropbox. Utiliza recursos de la nube como servidores C2 e interactúa con ellos a través de API y tokens de autenticación. Inicialmente, emplea GitHub como su servidor C2 principal.
El método exacto de infiltración del objetivo no está claro. Sin embargo, una vez que obtiene acceso, el malware implementa un binario ejecutable portable basado en C que funciona como puerta trasera. Este binario inicia comunicaciones C2 o inyecta código shell en procesos legítimos, como mspaint.exe, msiexec.exe o cualquier proceso que contenga la cadena "browser".
El sofisticado diseño de CloudSorcerer le permite adaptar su comportamiento en función del proceso en ejecución y utilizar una comunicación compleja entre procesos a través de tuberías de Windows.
El componente de puerta trasera está diseñado para recopilar información sobre la máquina de la víctima y ejecutar instrucciones para enumerar archivos y carpetas, ejecutar comandos de shell, realizar operaciones de archivos e implementar cargas útiles adicionales.
El módulo C2 se conecta a una página de GitHub que funciona como un solucionador de punto muerto, recuperando una cadena hexadecimal codificada que apunta al servidor real en Microsoft Graph o Yandex Cloud. Alternativamente, CloudSorcerer también puede acceder a datos de hxxps://my.mail.ru/, un servicio ruso de alojamiento de fotografías basado en la nube, donde el nombre del álbum contiene la misma cadena hexadecimal.
Los cibercriminales utilizan CloudSorcerer para implementar malware de próxima generación
El método de infección inicial implica un archivo LNK comprometido que utiliza técnicas de carga lateral de DLL para ejecutar una DLL fraudulenta. Esta DLL utiliza Dropbox como canal de comunicación para realizar tareas de reconocimiento y descargar cargas útiles adicionales.
Una de las cepas de malware implementadas es GrewApacha, una puerta trasera asociada anteriormente con el grupo APT31 vinculado a China. También se inicia mediante la carga lateral de DLL y utiliza un perfil de GitHub controlado por el atacante como un solucionador de punto muerto para almacenar una cadena codificada en Base64 que apunta al servidor de comando y control (C2) real.
La otra familia de malware observada en los ataques es PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administración mediante TCP, UDP o tuberías con nombre y viene con capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar pulsaciones de teclas y capturar contenido del portapapeles.
Un análisis del código fuente de PlugX descubrió similitudes con una puerta trasera conocida llamada DRBControl (también conocida como Clambling), que se ha atribuido a los grupos de amenazas del nexo con China identificados como APT27 y APT41 . Los atacantes detrás de la campaña EastWind utilizaron servicios de red populares como servidores de comandos, como GitHub, Dropbox, Quora, LiveJourna ruso y Yandex Disk.
