CloudSorcerer adlı yeni gelişmiş kalıcı tehdit (APT) grubu, Rus hükümet kuruluşlarından siber sorumluluk saldırılarında verileri çalmak için kamu bulut hizmetlerini kötüye kullanıyor.
Kaspersky Güvenlik Araştırmacıları, Mayıs 2024'te Siber Teslim Grubunu keşfettiler. CloudSorcerer, Komut ve Kontrol (C2) işlemleri ve veri depolama için meşru bulut hizmetlerini kullanan özel kötü amaçlı yazılım kullandığını bildiriyorlar.
Kaspersky, Cloudsorcerer'ın Modus Operandi'nin Cloudwizard Apt'lerine benzer olduğunu, ancak kötü amaçlı yazılımlarının farklı olduğunu ve bunun yeni bir tehdit oyuncusu olduğuna inanmasına neden olduğunu belirtiyor.
Kaspersky, tehdit aktörlerinin başlangıçta bir ağı nasıl ihlal ettiğini açıklamasa da, özel Windows Backdoor'u manuel olarak yürüttüklerini söylüyorlar.
Kötü amaçlı yazılım, enjekte edildiğine bağlı olarak, 'getModuleFilenamea' kullanılarak belirlediği sürece özgü bir davranışa sahiptir.
"Mspaint.exe" içinden yürütülürse, bir arka kapı görevi görür, veri toplar ve kod yürütür. Ancak, "msiexec.exe" içinde başlatılırsa, önce yürütülecek komutları almak için C2 iletişimini başlatır.
İlk iletişim, daha fazla C2 işlemi için hangi bulut hizmetini kullanacağını belirleyen bir onaltılık dize içeren bir GitHub deposuna (yazma sırasında) bir istektir: Microsoft Graph, Yandex Cloud veya Dropbox.
Sabit kodlanmış davranışlarla eşleşmeyen işlemler için, kötü amaçlı yazılım kabuk kodunu MSIExec, Mspaint veya Explorer işlemine enjekte eder ve ilk işlemi sonlandırır.
Shellcode, Windows Core DLL ofsetlerini tanımlamak için İşlem Ortamı Bloğunu (PEB) ayrıştırır, ROR14 algoritmasını kullanarak gerekli Windows API'lerini tanımlar ve CloudSorcerer kodunu hedeflenen işlemlerin belleğine eşler.
Modüller arasında veri alışverişi, sorunsuz işlemler arası iletişim için Windows boruları aracılığıyla düzenlenir.
Veri hırsızlığını gerçekleştiren arka kapı modülü, bilgisayar adı, kullanıcı adı, Windows Subversion ve sistem çalışma süresi gibi sistem bilgilerini toplar.
Ayrıca, C2'den alınan bir dizi komutu da destekler:
Genel olarak, CloudSorcerer Backdoor, tehdit aktörlerinin enfekte edilmiş makinelerde kötü niyetli eylemler gerçekleştirmesini sağlayan güçlü bir araçtır.
Kaspersky, kötü amaçlı yazılımların dinamik adaptasyonu ve gizli veri iletişim mekanizmaları nedeniyle CloudSorcerer saldırılarını son derece sofistike olarak nitelendirir.
Uzlaşma (IOC) ve YARA kurallarının CloudSorcerer kötü amaçlı yazılımlarını tespit etmek için kuralları Kaspersky'nin raporunun altında mevcuttur.
Polonya, Rus askeri bilgisayar korsanlarının govt ağlarını hedeflediğini söylüyor
Rusya Apple'ı App Store'dan düzinelerce VPN uygulamasını kaldırmaya zorluyor
Proton ücretsiz, gizlilik odaklı Google Dokümanlar Alternatifi
TeamViewer, Kurumsal Siber Saldırıyı Rus Devlet Hacker'larına bağlar
ABD Rus Gru hacker'ı ima ediyor, 10 milyon dolarlık ödül sunuyor
Kaynak: Bleeping Computer