В конце июля 2024 года была обнаружена серия целевых кибератак на российские государственные организации и IT-компании. Злоумышленники использовали фишинговые письма с вредоносными вложениями для заражения устройств и установки вредоносного ПО. Вредоносная программа получала команды через облачное хранилище Dropbox и использовалась для загрузки дополнительных троянцев, включая инструменты, используемые кибергруппой APT31, и обновленную версию бэкдора CloudSorcerer. Эта кампания получила название EastWind.
EastWind
Среди имплантов, использованных в этой кампании, - GrewApacha, троянская программа, используемая APT31 с 2021 года и загружаемая из хранилища Dropbox. Бэкдор CloudSorcerer также был обновлен, чтобы использовать LiveJournal и Quora в качестве командно-контрольных серверов. Кроме того, был использован ранее неизвестный имплант под названием PlugY, который функционирует как классический бэкдор и поддерживает множество протоколов связи. Его код аналогичен бэкдору DRBControl, приписываемому группировке APT27.
Первоначальный способ заражения заключался в целевой рассылке фишинговых писем с RAR-архивами, содержащими вредоносные файлы. Архивы имели названия, связанные с определенными регионами, а содержащиеся в них файлы включали легитимные документы-приманки, файлы рабочего стола и вредоносный файл VERSION.dll. При нажатии на вредоносный ярлык выполнялась команда командной строки, которая копировала файлы в определенные папки и запускала файл desktop.exe.
Ранее сообщалось об аналогичном методе заражения в ходе атаки на одну из организаций в США, в которой использовался бэкдор CloudSorcerer. Библиотека VERSION.dll представляет собой бэкдор, развернутый через Dropbox с помощью боковой загрузки DLL. Она обращается к облачному сервису за командами и поддерживает различные команды для выполнения. Результаты выполнения этих команд загружаются в облачное хранилище.
Злоумышленники использовали бэкдор и внедренные библиотеки для сбора информации о зараженных компьютерах и установки дополнительного вредоносного ПО. Они загружали файлы, включая легитимный исполняемый файл, вредоносную библиотеку и зашифрованный файл полезной нагрузки. Вредоносная библиотека загружалась в легитимный исполняемый файл с помощью техники боковой загрузки DLL.
Таким образом, кампания EastWind включала в себя целенаправленные кибератаки на российские государственные организации и ИТ-компании. Злоумышленники использовали для своих операций фишинговые письма, вредоносные вложения и облачное хранилище Dropbox. Они использовали такие импланты, как GrewApacha, троян APT31, и PlugY, ранее неизвестный бэкдор. Злоумышленники также обновили бэкдор CloudSorcerer, чтобы использовать новые командно-контрольные серверы. Общая цель кампании заключалась в получении несанкционированного доступа к целевым системам и проведении дальнейших вредоносных действий.
Indicators of Compromise
MD5
- 1f5c0e926e548de43e0039858de533fc
- bed245d61b4928f6d6533900484cafc5
- d0f7745c80baf342cd218cf4f592ea00
- f6245f64eaad550fd292cfb1e23f0867
SHA1
- 426bbf43f783292743c9965a7631329d77a51b61
- c0e4dbaffd0b81b5688ae8e58922cdaa97c8de25
- e1cf6334610e0afc01e5de689e33190d0c17ccd4
- fccdc059f92f3e08325208f91d4e6c08ae646a78
SHA256
- 5071022aaa19d243c9d659e78ff149fe0398cf7d9319fd33f718d8e46658e41c
- 668f61df2958f30c6a0f1356463e14069b3435fb4e8417a948b6738f5f340dd9
- bd747692ab5db013cd4c4cb8ea9cafa7577c95bf41aa2629a7fea875f6dcbc41
- e2f87428a855ebc0cda614c6b97e5e0d65d9ddcd3708fd869c073943ecdde1c0
