839
Обнаружена новая целевая атака на российские госструктуры
Методы злоумышленников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной экспертами «Лаборатории Касперского» в 2023 году, однако код вредоносного ПО совершенно иной. За CloudSorcerer скорее всего стоит другая кибергруппа, применившая аналогичный метод взаимодействия с публичными облачными службами. При этом код вредоносного ПО написан качественно и без ошибок. Доступ к облачным сервисам (например, Dropboх) злоумышленники получают через API с помощью токенов аутентификации.
Для проведения атак кибергруппа использует многоступенчатую стратегию. Сначала злоумышленники вручную разворачивают вредоносное ПО на заражённом устройстве. После запуска CloudSorcerer адаптирует свои возможности в зависимости от настроек системы. В зависимости от полученного имени процесса вредоносная программа активирует различные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером, внедрение шелл-кода.
Способность вредоносной программы динамически адаптировать своё поведение в зависимости от процесса, в котором она запущена, а также использовать сложное межпроцессное взаимодействие через каналы Windows ещё больше подчеркивает её проработанность.
CloudSorcerer применяет оригинальные методы обфускации и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для выполнения атак.
«В этой кампании кибершпионажа злоумышленники хитроумно используют публичные облачные сервисы для шпионажа, скрывая с их помощью свои действия. Это подтверждает, что защитная стратегия предприятия должна включать в себя инструменты, которые позволят распознавать и смягчать последствия таких методов», — комментирует Сергей Ложкин, ведущий эксперт «Лаборатории Касперского» по кибербезопасности.
