APT CloudSorcerer является новой угрозой для российских государственных структур. Это сложный инструмент кибершпионажа, который использует облачные сервисы Microsoft Graph, Yandex Cloud и Dropbox для мониторинга, сбора данных и эксфильтрации. Вредоносная программа взаимодействует с командно-контрольными серверами (C2) через API и получает доступ к облачным ресурсам с помощью токенов аутентификации. Кроме того, CloudSorcerer использует GitHub в качестве начального C2-сервера.
CloudSorcerer APT
CloudSorcerer похож на предыдущую угрозу APT CloudWizard, но имеет другой код вредоносной программы. Он использует публичные облачные сервисы для взаимодействия. Вредоносная программа работает в виде отдельных модулей, выполняя различные задачи, в зависимости от запущенного процесса. Однако она исполняется из одного исполняемого файла.
CloudSorcerer запускается вручную на уже зараженной машине и зависит от процесса, в котором он выполняется. Он выполняет различные действия в зависимости от обнаруженного имени процесса, таких как сбор данных, выполнение кода, запуск модулей связи C2 и внедрение шелл-кода в другие процессы. Вредоносная программа обменивается данными между модулями с использованием Windows pipes.
Модуль бэкдора CloudSorcerer собирает информацию о системе, включая имя компьютера, имя пользователя, информацию о версии Windows и время работы системы. Собранная информация записывается в именованную трубу и передается модулю C2. Бэкдор также выполняет различные задачи в зависимости от идентификатора команды, включая сбор информации о дисках, файлах и папках, выполнение команд оболочки, копирование, перемещение и удаление файлов, чтение и запись данных в файлы, внедрение шелл-кода и создание секции PE-файла.
APT CloudSorcerer представляет серьезную угрозу для российских государственных структур и использует публичные облачные сервисы для своей деятельности. Он имеет сложную структуру и выполняет различные задачи, включая мониторинг, сбор данных и эксфильтрацию. Вредоносная программа взаимодействует с C2-серверами через API, используя токены аутентификации. Кроме того, она использует GitHub в качестве начального C2-сервера.
CloudSorcerer имеет схожую функциональность с APT CloudWizard, но имеет другой код вредоносной программы. Он работает в виде отдельных модулей, которые выполняют различные задачи в зависимости от запущенного процесса. Вредоносная программа запускается вручную на зараженной машине и использует облачные ресурсы в качестве C2-серверов.
CloudSorcerer взаимодействует с C2-серверами с помощью специальных команд и декодирует их с помощью таблицы кодов. Для своей деятельности вредоносная программа использует объектные интерфейсы Microsoft COM и действует как отдельные модули в зависимости от выполняемого процесса. Вредоносная программа имеет начальный запуск с помощью одного исполняемого файла и использует различные техники для взаимодействия с системой, включая использование Windows pipes для обмена данными между модулями. Модуль бэкдора CloudSorcerer собирает информацию о системе и передает ее модулю C2 через именованную трубу. Далее вредоносная программа выполняет различные задачи в зависимости от полученного идентификатора команды, включая работу с дисками, файлами, папками и выполнение команд оболочки.
Indicators of Compromise
URLs
- https://github.com/alinaegorovaMygit
- https://my.mail.ru/yandex.ru/alinaegorova2154/photo/1
MD5
- F701fc79578a12513c369d4e36c57224
