Daha önce belgelenmemiş, gelişmiş kalıcı tehdit (APT) grubu olarak adlandırılan BulutBüyücüsü Rus hükümet birimlerini, komuta ve kontrol (C2) ve veri sızdırma amacıyla bulut hizmetlerinden yararlanarak hedef aldığı gözlemlendi.
Mayıs 2024’te faaliyeti keşfeden siber güvenlik firması Kaspersky, tehdit aktörü tarafından benimsenen ticari zanaatın CloudWizard’ınkiyle benzerlikler taşıdığını ancak kötü amaçlı yazılımın kaynak kodundaki farklılıklara dikkat çekti. Saldırılar, yenilikçi bir veri toplama programı ve izlerini örtmek için bir dizi kaçınma taktiği kullanıyor.
Rus güvenlik sağlayıcısı, “Bu, Microsoft Graph, Yandex Cloud ve Dropbox bulut altyapısı üzerinden gizli izleme, veri toplama ve sızdırma amacıyla kullanılan gelişmiş bir siber casusluk aracıdır” dedi.
“Kötü amaçlı yazılım, bulut kaynaklarını komuta ve kontrol (C2) sunucuları olarak kullanır ve kimlik doğrulama belirteçlerini kullanarak API’ler aracılığıyla bunlara erişir. Ayrıca, CloudSorcerer ilk C2 sunucusu olarak GitHub’ı kullanır.”
Hedeflere sızmak için kullanılan kesin yöntem henüz bilinmiyor, ancak ilk erişim, arka kapı olarak kullanılan, C2 iletişimlerini başlatan veya yürütüldüğü işleme (yani mspaint.exe, msiexec.exe) bağlı olarak diğer meşru işlemlere kabuk kodu enjekte eden veya “tarayıcı” dizesini içeren C tabanlı taşınabilir bir yürütülebilir ikili dosyayı bırakmak için kullanılıyor.
Kaspersky, “Kötü amaçlı yazılımın, çalıştığı işleme göre davranışını dinamik olarak uyarlama yeteneği ve Windows kanalları üzerinden karmaşık işlemler arası iletişimi kullanması, onun karmaşıklığını daha da ortaya koyuyor” dedi.
Arka kapı bileşeni, kurban makine hakkında bilgi toplamak ve dosya ve klasörleri numaralandırmak, kabuk komutlarını yürütmek, dosya işlemleri gerçekleştirmek ve ek yükleri çalıştırmak için talimatları almak üzere tasarlanmıştır.
C2 modülü ise, Microsoft Graph veya Yandex Cloud’da barındırılan gerçek sunucuya işaret eden kodlanmış bir onaltılık dizeyi almak için bir dead drop çözücüsü gibi davranan bir GitHub sayfasına bağlanır.
“Alternatif olarak, GitHub’a bağlanmak yerine, CloudSorcerer aynı verileri hxxps://my.mail adresinden almaya çalışır[.]Kaspersky, “Rus bulut tabanlı bir fotoğraf barındırma sunucusu olan ru/” dedi. “Fotoğraf albümünün adı aynı onaltılık dizeyi içeriyor.”
“CloudSorcerer kötü amaçlı yazılımı, Rus hükümet kuruluşlarını hedef alan karmaşık bir araç setini temsil ediyor. C2 altyapısı için Microsoft Graph, Yandex Cloud ve Dropbox gibi bulut hizmetlerini ve ilk C2 iletişimleri için GitHub’ı kullanması, siber casusluğa karşı iyi planlanmış bir yaklaşım olduğunu gösteriyor.”