卡巴斯基报告针对俄罗斯政府的网络间谍APT组织“CloudSorcerer”

根据俄罗斯安全供应商卡巴斯基的最新报告，一种新的高级持续性威胁组织(APT) 被发现针对俄罗斯政府实体进行网络间谍活动。

卡巴斯基表示，这个被称为CloudSorcerer的APT组织使用 Dropbox、Microsoft Graph 和 Yandex Cloud 窃取数据，同时依赖公共云服务作为命令和控制 (C&C) 基础设施。

根据该公司的文档，APT 会在受感染的机器上手动执行 CloudSorcerer 恶意软件。根据其运行的进程，恶意软件可以充当后门、启动 C&C 通信模块或尝试将 shellcode 注入 explorer.exe、msiexec.exe 或 mspaint.exe。

后门模块收集受害者计算机的各种信息，包括机器名称、用户名、Windows 信息和系统正常运行时间。这些数据被存储在专门创建的结构中，并写入连接到通信模块的命名管道。

卡巴斯基表示：“值得注意的是，所有数据交换都是使用具有不同目的的明确定义的结构来组织的，例如后门命令结构和信息收集结构。”

根据通过相同命名管道接收的命令，恶意软件可以收集其他信息，执行 shell 命令，篡改文件并将 shellcode 注入进程。

接收到特定命令 ID 后即可使用其他功能，例如创建进程、清除 DNS 缓存、篡改 Windows 任务、服务、广告注册表、创建/删除用户、断开网络资源、篡改文件以及收集网络信息。

我们发现 C&C 通信模块正在启动与包含三个公共项目分支的 GitHub 页面或俄罗斯云端照片托管服务器 my.mail[.]ru 的初始连接。两个页面均包含相同的编码字符串。

据卡巴斯基介绍，C＆C 模块“通过读取数据、接收编码命令、使用字符代码表对其进行解码以及通过命名管道将其发送到后门模块来与云服务进行交互”。

卡巴斯基表示，利用公共云基础设施进行 C＆C 是 CloudWizard APT（去年披露的另一个高级威胁组织）的作案手法，但 CloudSorcerer 的活动似乎有所不同。

卡巴斯基研究人员补充道：“将 CloudSorcerer 归因于同一攻击者的可能性很低，因为恶意软件的代码和整体功能都不同。因此，我们目前假设 CloudSorcerer 是一个采用了与公共云服务交互技术的新攻击者。”

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dDSWoj9bV8Dv_izl42NV4A