CloudSorcerer adlı yeni bir gelişmiş sürekli tehdit (APT) grubu, siber casusluk saldırılarıyla Rus hükümet kuruluşlarından veri çalmak için genel bulut hizmetlerini kötüye kullanıyor.
Kaspersky güvenlik araştırmacıları, siber casusluk grubunu Mayıs 2024’te keşfetti. CloudSorcerer’ın, komuta ve kontrol (C2) işlemleri ve veri depolama için meşru bulut hizmetlerini kullanan özel kötü amaçlı yazılım kullandığını bildiriyorlar.
Kaspersky, CloudSorcerer’ın çalışma şeklinin CloudWizard APT’sine benzediğini ancak kötü amaçlı yazılımlarının farklı olduğunu belirtiyor ve bu da güvenlik araştırmacılarının bunun yeni bir tehdit aktörü olduğuna inanmasına yol açıyor.
CloudSorcerer kötü amaçlı yazılım ayrıntıları
Kaspersky, tehdit aktörlerinin başlangıçta bir ağı nasıl ihlal ettiğini açıklamazken, özel Windows arka kapısını manuel olarak çalıştırdıklarını söylüyor.
Kötü amaçlı yazılımın, enjekte edildiği yere bağlı olarak, ‘GetModuleFileNameA’ komutunu kullanarak belirlediği, işleme özgü bir davranışı vardır.
“mspaint.exe” içinden çalıştırılırsa, arka kapı görevi görerek veri toplar ve kod çalıştırır. Ancak, “msiexec.exe” içinden başlatılırsa, öncelikle yürütülecek komutları almak için C2 iletişimini başlatır.
İlk iletişim, daha sonraki C2 işlemleri için hangi bulut hizmetinin kullanılacağını belirleyen onaltılık bir dize içeren bir GitHub deposuna (yazım sırasında mevcut) yapılan bir istektir: Microsoft Graph, Yandex Cloud veya Dropbox.
Sabit kodlanmış herhangi bir davranışla eşleşmeyen işlemler için kötü amaçlı yazılım, MSIexec, MSPaint veya Explorer işlemine kabuk kodu enjekte eder ve ilk işlemi sonlandırır.
Kabuk kodu, Windows çekirdek DLL ofsetlerini tanımlamak için İşlem Ortam Bloğunu (PEB) ayrıştırır, ROR14 algoritmasını kullanarak gerekli Windows API’lerini belirler ve CloudSorcerer kodunu hedeflenen işlemlerin belleğine eşler.
Modüller arası veri alışverişi, kesintisiz işlem içi iletişim için Windows kanalları aracılığıyla düzenlenir.
Veri hırsızlığını gerçekleştiren arka kapı modülü, bilgisayar adı, kullanıcı adı, Windows sürümü ve sistem çalışma süresi gibi sistem bilgilerini topluyor.
Ayrıca C2’den alınan bir dizi komutu da destekler, bunlar arasında şunlar bulunur:
- ‘ShellExecuteExW’ API’sini kullanarak kabuk komutu yürütme
- Dosyaları kopyalayın, taşıyın, yeniden adlandırın veya silin
- Borudan bir kabuk kodu alın ve uzak bir işlemde bellek ayırarak ve yeni bir iş parçacığı oluşturarak herhangi bir işleme enjekte edin
- Bir PE dosyası alın, bir bölüm oluşturun ve bunu uzak işleme eşleyin
- COM arayüzlerini kullanarak bir işlem oluşturun
- Özel bir kullanıcı olarak bir süreç oluşturun
- Yeni bir hizmet oluşturun veya mevcut bir hizmeti değiştirin
- Yeni ağ kullanıcıları ekleyin veya meşru kullanıcıları sistemden kaldırın
Genel olarak CloudSorcerer arka kapısı, tehdit aktörlerinin enfekte olmuş makinelerde kötü amaçlı eylemler gerçekleştirmesini sağlayan güçlü bir araçtır.
Kaspersky, CloudSorcerer saldırılarını, kötü amaçlı yazılımın dinamik adaptasyonu ve gizli veri iletişim mekanizmaları nedeniyle oldukça karmaşık olarak nitelendiriyor.
Kaspersky raporunun alt kısmında, CloudSorcerer zararlı yazılımını tespit etmeye yönelik tehlike göstergeleri (IoC) ve Yara kuralları yer alıyor.