Yeni CloudSorcerer APT Grubu C2 Sunucuları İçin Bulut Hizmetlerini ve GitHub’ı Kullanıyor


Yeni CloudSorcerer APT Grubu C2 Sunucuları İçin Bulut Hizmetlerini ve GitHub'ı Kullanıyor

Bilgisayar korsanları, oldukça popüler olan ve büyük miktarda veriye erişim sağlayabilen Bulut servislerini ve GitHub’ı suistimal ediyor.

Zira bunlar, hacker’lara kazanç sağlayan fikri mülkiyet, hassas bilgiler ve kimlik bilgileri içeriyor.

DÖRT

Bunun yanı sıra, bulut ayarlarındaki veya genel depolarındaki yanlış yapılandırmalar, yanlışlıkla veri ifşalarına veya bu hizmetlerin işbirlikçi yapısına neden olabilir ve bu da kötü amaçlı yazılım saldırıları başlatmak veya daha büyük sistemlere erişmek için bir ortam olarak kullanılabilir.

Kaspersky Lab’daki siber güvenlik analistleri yakın zamanda CloudSorcerer adlı yeni APT grubunun C2 sunucuları için bulut hizmetlerini ve GitHub’ı aktif olarak kullandığını tespit etti.

CloudSorcerer APT Grubu

Mayıs 2024’te CloudSorcerer’ın Rus hükümet kurumlarını hedef aldığı keşfedildi.

Bu son derece gelişmiş siber casusluk kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısı Microsoft Graph, Yandex.Cloud, Dropbox ve GitHub’dır.

Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.

Burada C2 kanalları yetkilendirme token’ları ile API’ler aracılığıyla uygulanır.

İletişim ve veri toplama için iki ana modüle ayrılmış olup, kötü amaçlı eylemler için COM nesne arayüzlerine ve sabit bir karakter dizisi aracılığıyla verilen komutları çözmek için önceden tanımlanmış bir karakter kodu tablosuna dayanmaktadır.

CloudSorcerer, yürütmedeki işleme bağlı olarak işleyişini değiştiren C tabanlı bir PE ikilisidir. mspaint.exe olduğunda, veri toplama ve kod yürütme için bir arka kapı işlevi görür.

Msiexec.exe değilse, sadece belirli işlemlere kabuk kodu enjekte eder; aksi takdirde, C2 iletişimini başlatır.

Kötü amaçlı yazılım sistem bilgilerini topluyor, dosya işlemleri, kabuk kodu enjeksiyonu, PE dosya eşlemesi gibi çeşitli komutlar gerçekleştiriyor ve toplanan verileri C2 modülüne göndermek için Windows kanallarını işlem içi iletişim için kullanıyor.

Aşağıda kötü amaçlı yazılımın topladığı verilerden bahsettik:

  • Bilgisayar adı
  • Kullanıcı adı
  • Windows alt sürüm bilgisi
  • Sistem çalışma süresi

CloudSorcerer’ın C2 modülü için başlangıç ​​C2’si bir GitHub sayfası veya hatta bir Rus bulut fotoğraf sunucusu olabilir.

Charcode tablosunun yardımıyla gizli bir hex dizesini çıkarma ve kodunu çözme kapasitesine sahiptir. Sadece bununla kalmayıp, kullanılan belirli bulut hizmetini ve bir doğrulama belirtecini (Microsoft Graph veya Yandex) de ortaya çıkaracaktır.

Yazar bölümündeki hex dizesi (Kaynak – Securelist)

Kötü amaçlı yazılım, yasal trafiği taklit ederken aynı anda C2 operasyonları için bir bulut hizmetinden diğerine geçiş yapmasını mümkün kılan akıllı bir yaklaşım kullanıyor.

CloudSorcerer’ın C2 modülü, internet işlevlerini ve kodlanmış kimlik doğrulama belirtecini kullanarak bulut API’lerine bağlanır. Windows boruları aracılığıyla arka kapı modülüyle asenkron iletişim için iki iş parçacığı oluşturur.

C2 modülü bulutlardan alınan komutları kabul edip çözümleyebiliyor, bunları arka kapısına gönderebiliyor, yürütme sonuçlarını ve sızdırılan verileri yükleyerek gizli iletişimi ve veri transferini sağlayabiliyor.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo



Source link