Un grupo de amenaza persistente avanzada (APT) no documentado previamente denominado Hechicero de las nubes Se ha observado que ataca a entidades gubernamentales rusas aprovechando los servicios en la nube para comando y control (C2) y exfiltración de datos.
La empresa de ciberseguridad Kaspersky, que descubrió la actividad en mayo de 2024, señaló que la estrategia adoptada por el actor de amenazas guarda similitudes con la de CloudWizard, pero señaló las diferencias en el código fuente del malware. Los ataques utilizan un innovador programa de recopilación de datos y una serie de tácticas de evasión para ocultar sus rastros.
«Es una sofisticada herramienta de ciberespionaje utilizada para monitoreo oculto, recolección de datos y exfiltración a través de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox», dijo el proveedor de seguridad ruso. dicho.
«El malware utiliza recursos de la nube como servidores de comando y control (C2), a los que accede a través de API mediante tokens de autenticación. Además, CloudSorcerer utiliza GitHub como su servidor C2 inicial».
Actualmente se desconoce el método exacto utilizado para infiltrarse en los objetivos, pero el acceso inicial se aprovecha para colocar un binario ejecutable portable basado en C que se utiliza como puerta trasera, iniciar comunicaciones C2 o inyectar shellcode en otros procesos legítimos según el proceso en el que se ejecuta, es decir, mspaint.exe, msiexec.exe o que contiene la cadena «browser».
«La capacidad del malware de adaptar dinámicamente su comportamiento en función del proceso en el que se ejecuta, junto con su uso de una comunicación compleja entre procesos a través de canales de Windows, resalta aún más su sofisticación», señaló Kaspersky.
El componente de puerta trasera está diseñado para recopilar información sobre la máquina víctima y recuperar instrucciones para enumerar archivos y carpetas, ejecutar comandos de shell, realizar operaciones de archivos y ejecutar cargas útiles adicionales.
El módulo C2, por su parte, se conecta a una página de GitHub que actúa como un resolver de punto muerto para obtener una cadena hexadecimal codificada que apunte al servidor real alojado en Microsoft Graph o Yandex Cloud.
«Alternativamente, en lugar de conectarse a GitHub, CloudSorcerer también intenta obtener los mismos datos de hxxps://my.mail[.]»ru/, que es un servidor ruso de alojamiento de fotografías en la nube», dijo Kaspersky. «El nombre del álbum de fotografías contiene la misma cadena hexadecimal».
«El malware CloudSorcerer representa un conjunto de herramientas sofisticadas que apuntan a las entidades gubernamentales rusas. Su uso de servicios en la nube como Microsoft Graph, Yandex Cloud y Dropbox para la infraestructura C2, junto con GitHub para las comunicaciones iniciales C2, demuestra un enfoque bien planificado para el espionaje cibernético».