Ранее неизвестная группа хакеров, известная как CloudSorcerer, нацелена на российские государственные структуры. Эта группа использует облачные сервисы для управления и контроля (C2) и утечки данных. Компания по кибербезопасности Kaspersky обнаружила эту активность в мае 2024 года. Методы, используемые злоумышленниками, похожи на методы CloudWizard, но есть различия в исходном коде вредоносного ПО. В ходе атак используется инновационная программа сбора данных и множество тактик уклонения для заметания следов.
Вредоносная программа использует облачные ресурсы в качестве своих серверов управления (C2), получая к ним доступ через API с использованием токенов аутентификации. Кроме того, CloudSorcerer использует GitHub в качестве своего начального C2-сервера. Точный метод проникновения в цели пока неизвестен.
Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок. Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud.
Вместо подключения к GitHub, CloudSorcerer также пытается получить те же данные из hxxps://my.mail.ru/, который является российским облачным сервером фотохостинга. Название фотоальбома содержит ту же шестнадцатеричную строку.
CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.
Компания по корпоративной безопасности Proofpoint объявила об обнаружении кибератаки, направленной на неназванную американскую организацию, которая использует тактику, аналогичную той, что применялась группой CloudSorcerer. Активность отслеживается под псевдонимом UNK_ArbitraryAcrobat.
Согласно сообщению, атака, зафиксированная в конце мая 2024 года, использовала учетную запись бесплатной электронной почты, маскировавшуюся под известный аналитический центр США, и поддельное приглашение на мероприятие в качестве приманки, чтобы убедить получателей загрузить ZIP-архив с сайта acrobat-inst .com.
Как утверждают в компании, если ZIP-файл был загружен и открыт, пользователю предоставляется папка и три LNK-файла, которые могут быть использованы для запуска цепочки вредоносных действий.
"LNKs запускают документ PDF или Word, встроенный в папку, затем переименовывают различные компоненты в папке на новые имена и запускают встроенный исполняемый файл cache.tmp", - сообщили в компании.
Загруженный процесс впоследствии обращается к профилям GitHub или TechNet для получения большого двоичного объекта в шестнадцатеричном формате, который начинается и заканчивается одним и тем же шаблоном байтов "CDOY", что соответствует наблюдениям Касперского.
Вредоносная программа использует облачные ресурсы в качестве своих серверов управления (C2), получая к ним доступ через API с использованием токенов аутентификации. Кроме того, CloudSorcerer использует GitHub в качестве своего начального C2-сервера. Точный метод проникновения в цели пока неизвестен.
Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок. Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud.
Вместо подключения к GitHub, CloudSorcerer также пытается получить те же данные из hxxps://my.mail.ru/, который является российским облачным сервером фотохостинга. Название фотоальбома содержит ту же шестнадцатеричную строку.
CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.
Компания по корпоративной безопасности Proofpoint объявила об обнаружении кибератаки, направленной на неназванную американскую организацию, которая использует тактику, аналогичную той, что применялась группой CloudSorcerer. Активность отслеживается под псевдонимом UNK_ArbitraryAcrobat.
Согласно сообщению, атака, зафиксированная в конце мая 2024 года, использовала учетную запись бесплатной электронной почты, маскировавшуюся под известный аналитический центр США, и поддельное приглашение на мероприятие в качестве приманки, чтобы убедить получателей загрузить ZIP-архив с сайта acrobat-inst .com.
Как утверждают в компании, если ZIP-файл был загружен и открыт, пользователю предоставляется папка и три LNK-файла, которые могут быть использованы для запуска цепочки вредоносных действий.
"LNKs запускают документ PDF или Word, встроенный в папку, затем переименовывают различные компоненты в папке на новые имена и запускают встроенный исполняемый файл cache.tmp", - сообщили в компании.
Загруженный процесс впоследствии обращается к профилям GitHub или TechNet для получения большого двоичного объекта в шестнадцатеричном формате, который начинается и заканчивается одним и тем же шаблоном байтов "CDOY", что соответствует наблюдениям Касперского.