Güvenlik araştırmacıları, Mayıs 2024’te Rus hükümet kuruluşlarını hedef alan yeni ve gelişmiş bir siber casusluk aracı keşfetti. CloudSorcerer adlı araç, gizli izleme, veri toplama ve sızdırma işlemleri için komuta ve kontrol (C2) sunucuları olarak kullanılmak üzere Microsoft Graph, Yandex Cloud ve Dropbox gibi popüler bulut altyapı hizmetlerini kullanıyor.
CloudSorcerer Kampanyasının Teknik Ayrıntıları
Kaspersky araştırmacıları, CloudSorcerer kötü amaçlı yazılımının arkasında yeni bir APT grubunun olduğuna inanıyor. Kötü amaçlı yazılım, C dilinde yazılmış tek bir Taşınabilir Yürütülebilir (PE) ikili dosyadır ve yürütüldüğü işleme bağlı olarak işlevselliğini ayarlar.
Çalıştırma sırasında, kötü amaçlı yazılım, çalıştırıldığı işlemin adını belirlemek için GetModuleFileNameA işlevini çağırır ve ardından bu işlem adlarını tarayıcı, mspaint.exe ve msiexec.exe tanımlayıcılarını belirten bir dizi sabit kodlanmış dizeyle karşılaştırır. Kötü amaçlı yazılım, tanımlanan işlem adına bağlı olarak farklı işlevleri etkinleştirir:
- Mspaint.exe’de: Programın içinde veri toplamak ve kod çalıştırmak için arka kapı görevi görür.
- Msiexec.exe’de: C2 iletişimini başlatır.
- Tarayıcıda veya diğer algılanan işlemlerde: Sonlandırmadan önce hedeflenen işlemlere kabuk kodu enjekte eder.
Kötü amaçlı yazılımın arka kapı modülü, ayrı bir iş parçacığında çalışırken kurban makinesi hakkında sistem bilgileri toplayarak başlar. Bu bilgiler arasında bilgisayar adı, kullanıcı adı, Windows alt sürüm bilgileri ve sistem çalışma süresi bulunur.
Toplanan tüm veriler özel olarak oluşturulmuş bir yapıda saklanır. Bilgi toplama işlemi tamamlandıktan sonra veriler adlandırılmış boruya yazılır \.\PIPE[1428] C2 modül işlemine bağlanır. Daha sonra sürücü bilgilerini toplama, dosya ve klasör verilerini toplama, kabuk komutlarını yürütme, dosyaları düzenleme, işlemlere kabuk kodu enjekte etme, işlemler oluşturma, kayıt defteri anahtarlarını değiştirme ve ağ kullanıcılarını yönetme gibi alınan talimatlara dayalı çeşitli komutları yürütür.
Bu komutlar, kötü amaçlı yazılım programındaki her işlem için benzersiz bir COMMAND_ID altında belirtilir:
0x1 – Mantıksal sürücü adları, kapasite ve boş alan dahil olmak üzere sistemdeki sabit diskler hakkında bilgi toplar.
0x2 – Dosyalar ve klasörler hakkında ad, boyut ve tür gibi bilgileri toplar.
0x3 – ShellExecuteExW API’sini kullanarak kabuk komutlarını yürütün.
0x4 – Dosyaları kopyala, taşı, yeniden adlandır veya sil.
0x5 – Herhangi bir dosyadan veri oku.
0x6 – Herhangi bir dosyaya veri oluşturur ve yazar.
0x8 – Borudan bir kabuk kodu alın ve uzak bir işlemde bellek ayırarak ve yeni bir iş parçacığı oluşturarak herhangi bir işleme enjekte edin.
0x9 – Bir PE dosyası al, bir bölüm oluştur ve bunu uzak işleme eşle.
0x7 – Ek gelişmiş işlevleri çalıştır.
Araştırmacılar ayrıca Github sayfalarının C2 sunucuları olarak kullanıldığını, profilin yazar bölümünde gizlice hex kodu olarak gizlendiğini gözlemlediler. Bu profiller, meşru görünmek için herhangi bir değişiklik veya düzenleme yapılmadan herkese açık meşru kod depolarının çatallarını içeriyordu.
Aynı altıgen dizenin, Rus albüm paylaşım servisinde barındırılan halka açık fotoğraf albümlerinin adlarında da gizlendiği gözlemlendi. https://benim.postam[.]ruHer iki hizmetteki ilişkili profillerde, kamuya açık bir fotoğraf bankasından bir erkeğin fotoğrafı yer alıyordu.
Kötü amaçlı yazılım bu kaynaklardan hex dizeleri alır ve bunları farklı talimatları temsil eden parçalara ayırır. Kod çözülen hex dizesinin ilk parçası kötü amaçlı yazılım kullanımı için tasarlanmış bulut hizmetini belirtir. Örneğin, “1” bayt değeri Microsoft Graph bulutunu, “0” baytı ise Yandex bulutunu temsil eder.
Aşağıdaki bölümler, çeşitli farklı bulut API’lerini doğrulamak için kullanılan bir dizenin yanı sıra, seçili bulut hizmetleriyle belirli etkileşimler için bir işlev alt kümesi oluşturur.
CloudWizard APT Kampanyasına Benzerlik
Araştırmacılar, kampanyanın çalışma şekli ve taktiklerinde daha önce bilinen CloudWizard APT grubuyla benzerlikler olduğunu belirtirken, her iki grup tarafından kullanılan kötü amaçlı yazılımdaki kod ve işlevsellikteki önemli farklılıkların, CloudSorcerer’ın büyük olasılıkla kendi benzersiz araçlarını geliştiren daha yeni bir APT’nin çalışması olduğunu gösterdiğini belirtiyorlar.
CloudSorcerer kampanyası, Rus hükümet kuruluşlarına karşı karmaşık operasyonların kullanımını temsil ediyor. C2 altyapısı için Microsoft Graph, Yandex Cloud ve Dropbox gibi popüler bulut hizmetlerinin yanı sıra ilk C2 iletişimleri için GitHub ve MyMail fotoğraf albümlerinin kullanımı, casusluğa karşı iyi organize edilmiş bir yaklaşımı gösteriyor.
Kötü amaçlı yazılımın, enfekte olmuş sürece bağlı olarak davranışını dinamik olarak uyarlama yeteneği ve Windows borularını karmaşık bir şekilde kullanması, karmaşıklığını daha da vurgular. Araştırmacılar, CloudSorcerer kötü amaçlı yazılımının dağıtımına karşı koruma sağlamak için bir tehlike göstergeleri (IOC’ler) listesi paylaştı.