Porte dérobée de CloudSorcerer
Une nouvelle campagne de spear-phishing, baptisée EastWind, cible le gouvernement russe et les organisations informatiques. La campagne diffuse une variété de portes dérobées et de chevaux de Troie.
Cette séquence d'attaque commence généralement par des pièces jointes d'archives RAR contenant un fichier de raccourci Windows (LNK). Une fois ouvert, ce fichier déclenche une série d'actions qui aboutissent finalement au déploiement de logiciels malveillants, notamment GrewApacha, une version mise à jour de la porte dérobée CloudSorcerer et un implant jusqu'alors inconnu appelé PlugY. PlugY est téléchargé via la porte dérobée CloudSorcerer, propose un large éventail de commandes et peut communiquer avec le serveur de commande et de contrôle (C2) à l'aide de trois protocoles différents.
CloudSorcerer est une menace de porte dérobée complexe
CloudSorcerer est un outil de cyberespionnage avancé conçu pour la surveillance secrète, la collecte de données et l'exfiltration via Microsoft Graph, Yandex Cloud et Dropbox. Il utilise des ressources cloud comme serveurs C2, interagissant avec eux via des API et des jetons d'authentification. Au départ, il utilise GitHub comme serveur C2 principal.
La méthode exacte d'infiltration de la cible reste floue. Cependant, une fois l'accès obtenu, le malware déploie un binaire exécutable portable basé sur C qui sert de porte dérobée. Ce binaire initie des communications C2 ou injecte du shellcode dans des processus légitimes, tels que mspaint.exe, msiexec.exe ou tout processus contenant la chaîne « browser ».
La conception sophistiquée de CloudSorcerer lui permet d'adapter son comportement en fonction du processus en cours d'exécution et d'utiliser une communication interprocessus complexe via des canaux Windows.
Le composant de porte dérobée est conçu pour collecter des informations sur la machine de la victime et exécuter des instructions pour énumérer les fichiers et les dossiers, exécuter des commandes shell, effectuer des opérations sur les fichiers et déployer des charges utiles supplémentaires.
Le module C2 se connecte à une page GitHub qui fonctionne comme un résolveur de fichiers morts, récupérant une chaîne hexadécimale codée qui pointe vers le serveur réel sur Microsoft Graph ou Yandex Cloud. Alternativement, CloudSorcerer peut également accéder aux données de hxxps://my.mail.ru/, un service d'hébergement de photos basé sur le cloud russe, où le nom de l'album contient la même chaîne hexadécimale.
Les cybercriminels utilisent CloudSorcerer pour déployer des malwares de nouvelle génération
La méthode d'infection initiale implique un fichier LNK compromis qui utilise des techniques de chargement latéral de DLL pour exécuter une DLL frauduleuse. Cette DLL utilise Dropbox comme canal de communication pour effectuer une reconnaissance et télécharger des charges utiles supplémentaires.
L'une des souches de malware déployées est GrewApacha, une porte dérobée précédemment associée au groupe APT31 lié à la Chine. Également initiée via le chargement latéral de DLL, elle utilise un profil GitHub contrôlé par l'attaquant comme résolveur de dead drop pour stocker une chaîne codée en Base64 pointant vers le serveur de commande et de contrôle (C2) réel.
L'autre famille de logiciels malveillants observée dans les attaques est PlugY, une porte dérobée complète qui se connecte à un serveur de gestion à l'aide de TCP, UDP ou de canaux nommés et est dotée de capacités permettant d'exécuter des commandes shell, de surveiller l'écran de l'appareil, d'enregistrer les frappes au clavier et de capturer le contenu du presse-papiers.
Une analyse du code source de PlugX a révélé des similitudes avec une porte dérobée connue appelée DRBControl (alias Clambling), qui a été attribuée aux groupes de menaces liées à la Chine, identifiés comme APT27 et APT41 . Les attaquants à l'origine de la campagne EastWind ont utilisé des services réseau populaires tels que des serveurs de commande, tels que GitHub, Dropbox, Quora, Russian LiveJourna et Yandex Disk.
