Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) выявили кампанию кибершпионажа, нацеленную на российские государственные организации. Она получила наименованье CloudSorcerer. Сообщается, что нападающие использовали трудный инструмент, который обращается к облачным сервисам и Github в качестве командно-контрольных серверов.
Методы преступников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной знатоками «Лаборатории Касперского» в 2023 году, однако код вредоносного ПО совершенно иной. За CloudSorcerer скорее всего стоит иная кибергруппа, применившая подобный метод взаимодействия с публичными облачными службами. При этом код вредоносного ПО написан качественно и без ошибок. Доступ к облачным сервисам (например, Dropboх) преступники получают через API за счет токенов аутентификации.
Для проведения атак кибергруппа использует многоступенчатую стратегию. Сначала преступники вручную разворачивают вредоносное ПО на заражённом устройстве. После запуска CloudSorcerer адаптирует свои возможности исходя из настроек системы. В зависимости от полученного имени процесса вредоносная программа активирует разные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером, внедрение шелл-кода.
Способность вредоносной программы динамически адаптировать своё поведение исходя из процесса, в каком она запущена, а также использовать трудное межпроцессное взаимодействие через каналы Windows ещё больше подчеркивает её проработанность.
CloudSorcerer применяет оригинальные методы обфускации и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды за счет жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для выполнения атак.
«В этой кампании кибершпионажа преступники коварно используют публичные облачные сервисы для шпионажа, замалчивая при их помощи свои действия. Это доказывает, что защитная стратегия предприятия обязана включать в себя приборы, которые позволят опознавать и смягчать последствия таких методов», - объясняет ведущий эксперт «Лаборатории Касперского» по кибербезопасности Сергей Ложкин.
Фото: Freepik.com