Эксперты «Лаборатории Касперского» выявили кампанию кибершпионажа, нацеленную на российские государственные организации. Она получила название CloudSorcerer. Атакующие использовали сложный инструмент, который обращается к облачным сервисам и Github в качестве командно-контрольных серверов.
:no_upscale()/https://www.ixbt.com/img/n1/news/2024/6/1/2024-07-08%2011.55.36_large.jpg)
Методы злоумышленников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной экспертами «Лаборатории Касперского» в 2023 году, однако код вредоносного ПО совершенно иной. За CloudSorcerer скорее всего стоит другая кибергруппа, применившая аналогичный метод взаимодействия с публичными облачными службами. При этом код вредоносного ПО написан качественно и без ошибок. Доступ к облачным сервисам (например, Dropboх) злоумышленники получают через API с помощью токенов аутентификации.
Для проведения атак кибергруппа использует многоступенчатую стратегию. Сначала злоумышленники вручную разворачивают вредоносное ПО на заражённом устройстве. После запуска CloudSorcerer адаптирует свои возможности в зависимости от настроек системы. В зависимости от полученного имени процесса вредоносная программа активирует различные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером, внедрение шелл-кода.
Способность вредоносной программы динамически адаптировать своё поведение в зависимости от процесса, в котором она запущена, а также использовать сложное межпроцессное взаимодействие через каналы Windows ещё больше подчеркивает её проработанность.
CloudSorcerer применяет оригинальные методы обфускации и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для выполнения атак.
Ведущий эксперт «Лаборатории Касперского» по кибербезопасности Сергей Ложкин рассказал:
В этой кампании кибершпионажа злоумышленники хитроумно используют публичные облачные сервисы для шпионажа, скрывая с их помощью свои действия. Это подтверждает, что защитная стратегия предприятия должна включать в себя инструменты, которые позволят распознавать и смягчать последствия таких методов.
:no_upscale()/https://cdn.ixbt.site/ixbt-data/rVu6Uehyyg/covers/YQevNoUsJ33AMWVtglL7149mJT15XkTod9cy2oia.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/5g26lQ68aK/covers/0BhKfkSG7viEjIQaw6GJll4dE7LXJVdoN13THpnR.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/UGy8q6jwGE/covers/e8SY4dngJbbw2CBzwd1Z2Hmr1KpaAz9aRH25RcVU.jpg)