Un groupe de menaces persistantes avancées (APT) jusqu’alors non documenté, baptisé Sorcier des nuages a été observé ciblant des entités gouvernementales russes en exploitant des services cloud pour le commandement et le contrôle (C2) et l’exfiltration de données.
L’entreprise de cybersécurité Kaspersky, qui a découvert l’activité en mai 2024, a souligné que le procédé utilisé par l’acteur malveillant présentait des similitudes avec celui de CloudWizard, mais a souligné les différences dans le code source du malware. Les attaques utilisent un programme innovant de collecte de données et une série de tactiques d’évasion pour couvrir leurs traces.
« Il s’agit d’un outil de cyberespionnage sophistiqué utilisé pour la surveillance furtive, la collecte de données et l’exfiltration via l’infrastructure cloud Microsoft Graph, Yandex Cloud et Dropbox », a déclaré le fournisseur de sécurité russe. dit.
« Le malware exploite les ressources du cloud comme serveurs de commande et de contrôle (C2), en y accédant via des API utilisant des jetons d’authentification. De plus, CloudSorcerer utilise GitHub comme serveur C2 initial. »
La méthode exacte utilisée pour infiltrer les cibles est actuellement inconnue, mais l’accès initial est exploité pour déposer un binaire exécutable portable basé sur C qui est utilisé comme porte dérobée, initier des communications C2 ou injecter du shellcode dans d’autres processus légitimes en fonction du processus dans lequel il est exécuté, à savoir mspaint.exe, msiexec.exe ou contient la chaîne « navigateur ».
« La capacité du malware à adapter dynamiquement son comportement en fonction du processus dans lequel il s’exécute, associée à son utilisation d’une communication interprocessus complexe via des canaux Windows, souligne encore davantage sa sophistication », a noté Kaspersky.
Le composant de porte dérobée est conçu pour collecter des informations sur la machine victime et récupérer des instructions pour énumérer les fichiers et les dossiers, exécuter des commandes shell, effectuer des opérations sur les fichiers et exécuter des charges utiles supplémentaires.
Le module C2, quant à lui, se connecte à une page GitHub qui fait office de résolveur de chutes mortes pour récupérer une chaîne hexadécimale codée pointant vers le serveur réel hébergé sur Microsoft Graph ou Yandex Cloud.
« Alternativement, au lieu de se connecter à GitHub, CloudSorcerer essaie également d’obtenir les mêmes données à partir de hxxps://my.mail[.] »ru/, qui est un serveur d’hébergement de photos russe basé sur le cloud », a déclaré Kaspersky. « Le nom de l’album photo contient la même chaîne hexadécimale. »
« Le malware CloudSorcerer représente un ensemble d’outils sophistiqués ciblant les entités gouvernementales russes. Son utilisation de services cloud tels que Microsoft Graph, Yandex Cloud et Dropbox pour l’infrastructure C2, ainsi que GitHub pour les communications C2 initiales, démontre une approche bien planifiée du cyberespionnage. »