新型APT组织CloudSorcerer瞄准俄罗斯政府

admin 2024年7月9日21:13:45评论37 views字数 960阅读3分12秒阅读模式
新型APT组织CloudSorcerer瞄准俄罗斯政府

网络安全公司卡巴斯基发现,一个名为 CloudSorcerer的新型APT组织通过滥用公共云服务,对俄罗斯政府机构实施攻击并窃取数据。

新型APT组织CloudSorcerer瞄准俄罗斯政府

卡巴斯基于 2024 年 5 月发现了这一活动,攻击者采用的技术与 CloudWizard 相似,但指出了恶意软件源代码的不同之处,称这是一种复杂的网络间谍工具,通过Microsoft Graph、Yandex Cloud和 Dropbox 云基础设施进行隐形监控、数据收集和泄露。

恶意软件利用云资源作为其命令和控制(C2)服务器,通过使用身份验证令牌的 API 访问这些资源。此外,CloudSorcerer 还使用 GitHub 作为其初始 C2 服务器。目前尚不清楚用于渗透目标的确切方法,但初始访问被用来投放基于 C 语言的便携式可执行程序二进制文件,该二进制文件可用作后门、启动 C2 通信,或根据其执行的进程向其他合法进程注入 shellcode。

卡巴斯基指出,该恶意软件能够根据所运行的进程动态调整其行为,再加上它通过 Windows 管道使用复杂的进程间通信,这进一步凸显了它的复杂性。后门组件旨在收集受害者机器的信息,并检索指令以枚举文件和文件夹、执行 shell 命令、执行文件操作和运行其他有效载荷。

此外,恶意软件的后门组件能收集受害者机器的信息,并获取枚举文件和文件夹、执行shell命令、执行文件操作和运行其他有效载荷的指令。

C2模块则连接到一个GitHub页面,该页面充当死区解析器(dead drop resolver),以获取一个十六进制字符串,该字符串指向托管在Microsoft Graph或Yandex Cloud上的实际服务器。此外,CloudSorcerer没有连接到GitHub,而是试图从一个基于俄罗斯云的照片托管服务器获取相同的数据。

由于使用 Microsoft Graph、Yandex Cloud 和 Dropbox 等云服务作为 C2 基础设施,并使用 GitHub 进行初始 C2 通信,显示这是通过精心策划的网络间谍攻击。

总体而言,CloudSorcerer 后门是一种强大的工具,使攻击者能够在受感染的机器上执行恶意操作。目前卡巴斯基已发布用于检测CloudSorcerer恶意软件的入侵指标(IoC)和Yara规则。

原文始发于微信公众号(FreeBuf):新型APT组织CloudSorcerer瞄准俄罗斯政府

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月9日21:13:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型APT组织CloudSorcerer瞄准俄罗斯政府https://cn-sec.com/archives/2936951.html

发表评论

匿名网友 填写信息