Um novo grupo de ameaça persistente avançada (APT) chamado CloudSorcerer está abusando de serviços de nuvem pública para roubar dados de organizações do governo russo em ataques de ciberespionagem.
Pesquisadores de segurança da Kaspersky descobriram o grupo de ciberespionagem em maio de 2024.
Eles relatam que o CloudSorcerer usa malware personalizado que utiliza serviços de nuvem legítimos para operações de comando e controle (C2) e armazenamento de dados.
A Kaspersky observa que o modus operandi do CloudSorcerer é semelhante ao do APT CloudWizard, mas seu malware é distinto, levando os pesquisadores de segurança a acreditar que se trata de um novo ator de ameaça.
Enquanto a Kaspersky não explica como os atores de ameaça inicialmente violam uma rede, eles dizem que executam o backdoor personalizado do Windows manualmente.
O malware tem um comportamento específico do processo dependendo de onde foi injetado, o que determina usando 'GetModuleFileNameA'.
Se executado a partir de "mspaint.exe", ele atua como um backdoor, coletando dados e executando códigos.
No entanto, se for lançado dentro de "msiexec.exe", primeiro inicia a comunicação C2 para receber comandos para executar.
A comunicação inicial é uma solicitação a um repositório do GitHub (ativo no momento da escrita) que contém uma string hexadecimal determinando qual serviço de nuvem usar para operações C2 adicionais: Microsoft Graph, Yandex Cloud ou Dropbox.
Para processos que não correspondem a nenhum comportamento codificado, o malware injeta shellcode nos processos MSIexec, MSPaint ou Explorer e encerra o processo inicial.
O shellcode analisa o Process Environment Block (PEB) para identificar os deslocamentos das DLLs centrais do Windows, identifica as APIs Windows necessárias usando o algoritmo ROR14 e mapeia o código do CloudSorcerer na memória dos processos alvo.
A troca de dados entre módulos é organizada através de pipes do Windows para comunicação entre processos sem interrupções.
O módulo backdoor, que realiza o roubo de dados, coleta informações do sistema como nome do computador, nome do usuário, subversão do Windows e tempo de atividade do sistema.
Ele também suporta uma variedade de comandos recebidos do C2, incluindo:
-Execução de comando shell usando a API 'ShellExecuteExW'
-Copiar, mover, renomear ou excluir arquivos
-Receber um shellcode do pipe e injetá-lo em qualquer processo alocando memória e criando uma nova thread em um processo remoto
-Receber um arquivo PE, criar uma seção e mapeá-lo no processo remoto
-Criar um processo usando interfaces COM
-Criar um processo como um usuário dedicado
-Criar um novo serviço ou modificar um serviço existente
-Adicionar novos usuários de rede ou remover usuários legítimos do sistema
No geral, o backdoor CloudSorcerer é uma ferramenta potente que possibilita aos atores de ameaça realizar ações maliciosas nas máquinas infectadas.
A Kaspersky caracteriza os ataques do CloudSorcerer como altamente sofisticados devido à adaptação dinâmica do malware e mecanismos de comunicação de dados ocultos.
Indicadores de comprometimento (IoC) e regras Yara para a detecção do malware CloudSorcerer estão disponíveis no final do relatório da Kaspersky.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...