Rus hükümeti ve BT kuruluşları, kod adı “Spyware” olan bir kimlik avı kampanyasının parçası olarak çok sayıda arka kapı ve Truva atı sunan yeni bir kampanyanın hedefi haline geldi. DoğuRüzgarı.
Saldırı zincirleri, açıldığında enfeksiyon dizisini etkinleştiren ve GrewApacha gibi kötü amaçlı yazılımların dağıtımıyla sonuçlanan bir Windows kısayolu (LNK) dosyası içeren RAR arşiv eklerinin kullanılmasıyla karakterize ediliyor; CloudSorcerer arka kapısının güncellenmiş bir versiyonu ve daha önce belgelenmemiş bir implant olan PlugY.
Rus siber güvenlik şirketi Kaspersky, PlugY’nin “CloudSorcerer arka kapısından indirildiğini, kapsamlı bir komut setine sahip olduğunu ve komuta ve kontrol sunucusuyla iletişim kurmak için üç farklı protokolü desteklediğini” söyledi. söz konusu.
İlk enfeksiyon vektörü, bir tuzakla kurulmuş LNK dosyasına dayanır; bu dosya, DLL yan yükleme teknikleri keşif komutlarını yürütmek ve ek yükler indirmek için bir iletişim mekanizması olarak Dropbox’ı kullanan kötü amaçlı bir DLL dosyasını başlatmak için.
DLL kullanılarak dağıtılan kötü amaçlı yazılımlar arasında bilinen bir arka kapı olan GrewApacha da bulunmaktadır önceden bağlantılı Çin bağlantılı APT31 grubuna. Ayrıca DLL yan yüklemesi kullanılarak başlatılan, saldırgan tarafından kontrol edilen bir GitHub profilini bir ölü damla çözücü Gerçek C2 sunucusunun Base64 kodlu dizesini depolamak için.
Öte yandan CloudSorcerer, Microsoft Graph, Yandex Cloud ve Dropbox bulut altyapısı üzerinden gizli izleme, veri toplama ve sızdırma için kullanılan sofistike bir siber casusluk aracıdır. GrewApacha’da olduğu gibi, güncellenmiş varyant, başlangıçta C2 sunucusu olarak LiveJournal ve Quora gibi meşru platformları kullanır.
Kaspersky, “CloudSorcerer’ın önceki sürümlerinde olduğu gibi, profil biyografileri bulut hizmetiyle etkileşim kurmak için şifrelenmiş bir kimlik doğrulama belirteci içeriyor” dedi.
Ayrıca, kötü amaçlı yazılımın yalnızca Windows’tan türetilen benzersiz bir anahtar kullanılarak kurbanın bilgisayarında patlatılmasını sağlayan şifreleme tabanlı bir koruma mekanizması kullanır. GetTickCount() fonksiyonu çalışma zamanında.
Saldırılarda gözlemlenen üçüncü kötü amaçlı yazılım ailesi ise, TCP, UDP veya adlandırılmış kanalları kullanarak bir yönetim sunucusuna bağlanan ve kabuk komutlarını yürütme, cihaz ekranını izleme, tuş vuruşlarını kaydetme ve panodaki içeriği yakalama yeteneklerine sahip olan tam özellikli bir arka kapı olan PlugY’dir.
Kaspersky, PlugX’in kaynak kodu analizinin DRBControl (diğer adıyla DRBX) adı verilen bilinen bir arka kapı ile benzerlikler ortaya çıkardığını söyledi. Tırmanma), olmuştur atfedilen Çin bağlantılı tehdit kümeleri APT27 ve APT41 olarak izlendi.
Şirketten yapılan açıklamada, “EastWind kampanyasının arkasındaki saldırganlar, komut sunucuları olarak popüler ağ servislerini kullandılar: GitHub, Dropbox, Quora’nın yanı sıra Rus LiveJournal ve Yandex Disk”
Kaspersky ayrıca Rusya’daki gaz tedarikiyle ilgili meşru bir siteyi ele geçirerek CMoon adlı bir solucanı dağıtmayı içeren bir watering hole saldırısının ayrıntılarını da verdi. Bu solucan, gizli ve ödeme verilerini toplayabiliyor, ekran görüntüleri alabiliyor, ek kötü amaçlı yazılımlar indirebiliyor ve ilgi duyulan hedeflere yönelik dağıtılmış hizmet engelleme (DDoS) saldırıları başlatabiliyor.
Kötü amaçlı yazılım ayrıca çeşitli web tarayıcılarından, kripto para cüzdanlarından, anlık mesajlaşma uygulamalarından, SSH istemcilerinden, FTP yazılımlarından, video kayıt ve yayın uygulamalarından, kimlik doğrulayıcılardan, uzak masaüstü araçlarından ve VPN’lerden dosya ve veri topluyor.
“CMoon, veri hırsızlığı ve uzaktan kontrol için geniş işlevselliğe sahip, .NET’te yazılmış bir solucandır” söz konusu“Kurulumdan hemen sonra, yürütülebilir dosya bağlı USB sürücülerini izlemeye başlar. Bu, saldırganların ilgisini çekebilecek dosyaları çıkarılabilir medyadan çalmanıza ve bunlara bir solucan kopyalayıp sürücünün kullanılacağı diğer bilgisayarlara bulaştırmanıza olanak tanır.”