CloudSorcerer cilja na ruske vladine entitete

AUTOR ·

Zlonamjerni softver CloudSorcerer je sofisticirani skup alata za sajber špijunažu koji cilja na ruske vladine entitete, koristeći različite usluge u oblaku za infrastrukturu za komandu i kontrolu (C2) i skladištenje podataka. Otkrili su ga Kaspersky bezbjednosni istraživači u maju 2024. godine, ova napredna trajna prijetnja (eng. Advanced persistent threat – APT) koristi prilagođeni zlonamjerni softver koji prilagođava svoje ponašanje na osnovu pokrenutog procesa i komunicira kroz složenu međuprocesnu komunikaciju koristeći Windows međuprocesne kanale.

CloudSorcerer

CloudSorcerer cilja na ruske vladine entitete; Source: Bing Image Creator

CLOUDSORCERER

Računarstvo u oblaku je promijenilo način na koji preduzeća rade i čuvaju podatke. Međutim, ovaj pomak ka infrastrukturi zasnovanoj na oblaku takođe dolazi sa sopstvenim skupom izazova, posebno u pogledu bezbjednosti. Jedna takva napredna trajna prijetnja (APT) koja ističe ove probleme je CloudSorcerer.

CloudSorcerer, kako su ga nazvali sigurnosni istraživači, je napredni zlonamjerni akter koji je stekao ozloglašenost zbog svojih sofisticiranih taktika, tehnika i procedura (eng. tactics, techniques, and procedures – TTP). Čini se da je primarni cilj grupe Infiltracija u ruske vladine entitete, što je čini značajnom prijetnjom za nacionalnu bezbjednost. Jedna od najintrigantnijih karakteristika CloudSorcerer prijetnje je njena ekstenzivna upotreba višestrukih legitimnih usluga u oblaku kroz lanac napada.

 

Funkcionisanje

Napad počinje spearphishing elektronskom poštom koja sadrži zlonamjernu vezu ili prilog koji preuzima početni korisni teret sa GitHub platforme. Kada se izvrši, ovaj teret uspostavlja komunikaciju sa primarnim C2 serverima na Microsoft Grap ili Yandex Clou koristeći Windows međuprocesne kanale za međuprocesnu komunikaciju. Ovaj metod omogućava zlonamjernom softveru da prilagodi svoje ponašanje na osnovu procesa u kome radi, što otežava bezbjednosnim rješenjima da otkriju i ublaže posljedice.

Zlonamjerni softver CloudSorcerer pokreće različite funkcije u zavisnosti od otkrivenog naziva procesa. Ako identifikuje “mspaint.exe”, on djeluje kao backdoor modul, prikuplja podatke i izvršava kôd. Nasuprot tome, ako otkrije “msiexec.exe”, aktivira svoj komunikacioni modul C2. Ako nijedan od ovih uslova nije ispunjen, zlonamjerni softver pokušava da ubaci kôd komandnog okruženja u ciljane procese pre nego što se završi.

CloudSorcerer zatim nastavlja sa evidentiranjem mrežnih informacija i mapiranjem udaljenih mrežnih diskova, prikupljajući vrijedne podatke o sistemu žrtve i mrežnoj infrastrukturi. Takođe evidentira sve RDP sesije na kompromitovanom uređaj, potencijalno omogućavajući napadačima pristup drugim sistemima unutar ciljane organizacije.

Zlonamjerni softver zatim kreira listu datoteka i fascikli, omogućavajući napadačima da selektivno eksfiltriraju osjetljive podatke iz sistema žrtve. Takođe kopira, premješta ili briše bilo koju datoteku po potrebi napadača.

 

C2 infrastruktura

C2 – komandna i kontrolna infrastruktura ovog zlonamjernog softvera povezuje se sa uslugama u oblaku kao što su Microsoft Graph, Yandex Cloud, Dropbox i GitHub. Korištenje usluga u oblaku od strane zlonamjernog softvera kao dijela njegovog lanca napada je dobro planiran pristup dizajniran da izbjegne otkrivanje i obezbijedi dugovječnost njegovih operacija. CloudSorcerer grupa razumije da ove platforme široko koriste organizacije, što im olakšava rad.

 

Microsoft Graph

Microsoft Graph je API koji omogućava programerima da pristupe Microsoft 365 podacima, uključujući elektronsku poštu, kontakte, kalendar, datoteke i još mnogo toga. CloudSorcerer koristi ovu uslugu kao dio svoje C2 infrastrukture tako što kreira registraciju aplikacije u Azure Active Directory (AAD) za svaku kompromitovanu mašinu. Zlonamjerni softver zatim registruje internet udica (eng. webhooks) koje slušaju dolazne HTTP POST zahteve sa komandnog servera napadača.

 

Yandex Cloud

Yandex Cloud je još jedna platforma u oblaku koju koristi CloudSorcerer kao dio svoje C2 infrastrukture. Obezbjeđuje infrastrukturu kao uslugu (eng. Infrastructure-as-a-Service – IaaS) i platformu kao uslugu (eng. Platform-as-a-Service – PaaS), što ga čini privlačnom metom za napadače koji žele da skladište svoj zlonamjerni softver ili eksfiltriraju podatke iz kompromitovanih sistema.

 

Dropbox

CloudSorcerer koristi Dropbox kao sekundarni C2 server, čuvajući početne korisne terete koji se kasnije preuzimaju i izvršavaju na mašini žrtve. Napadači koriste Dropbox API da kreiraju dijeljene fascikle za svaku ciljanu organizaciju, što olakšava distribuciju zlonamjernog softvera širom njihove mreže.

 

GitHub

GitHub koristi CloudSorcerer kao inicijalni C2 server, u kojem se nalazi spremište koje sadrži početni korisni teret koji inficira mašinu žrtve. Napadači koriste ovaj metod za isporuku zlonamjernog softvera putem elektronske pošte ili tehnikama društvenog inženjeringa. Kada se izvrši, zlonamjerni softver uspostavlja komunikaciju sa svojim primarnim C2 serverima na Microsoft Graph i Yandex Cloud platformama.

 

Eksfiltracija podataka

CloudSorcerer korištenje višestrukih usluga u oblaku ne zaustavlja se samo na C2 infrastrukturi. Istraživači su takođe primijetili da ova APT grupa koristi Dropbox za eksfiltraciju podataka. Korištenjem legitimne usluge kao što je Dropbox, CloudSorcerer može lako izbjeći otkrivanje i uklopiti se sa redovnim aktivnostima korisnika. Ova taktika je posebno efikasna jer mnoge organizacije dozvoljavaju korišćenje usluga skladištenja u oblaku u poslovne svrhe.

Posljedice ovakvih napada su dalekosežne. Oni ističu potrebu da organizacije preispitaju svoje bezbjednosne strategije kada su u pitanju usluge u oblaku. Tradicionalna odbrana perimetra možda više neće biti dovoljna, jer napadači nastavljaju da pronalaze inovativne načine da iskoriste legitimnu infrastrukturu oblaka. Umjesto toga, neophodan je novi pristup koji uključuje edukaciju korisnika, autentifikaciju u više koraka (eng. multi-factor authentication – MFA) i kontinuirano praćenje.

 

ZAKLJUČAK

CloudSorcerer predstavlja novu vrstu sajber prijetnji koje iskorišćavaju više legitimnih usluga u oblaku za obavljanje sofisticiranih špijunskih aktivnosti. Sposobnost grupe da se uklopi sa normalnim mrežnim saobraćajem korištenjem naizgled bezazlenih platformi za C2 komunikaciju i eksfiltraciju podataka čini to izazovnijim za bezbjednosne timove za efikasno otkrivanje i ublažavanje potencijalnih prijetnji. Ove platforme se široko koriste u organizacijama, što bezbjednosnim timovima čini izazovnijim da identifikuju anomalno ponašanje ili obrasce mrežnog saobraćaja. Štaviše, šifrovani priroda prenosa i skladištenja podataka otežava tradicionalnim bezbjednosnim rješenjima da otkriju bilo kakvu zlonamjernu aktivnost.

CloudSorcerer zlonamjerni softver nije samo sofisticiran već i prilagodljiv. Primijećeno je da sr dinamički mijenja svoje ponašanje na osnovu procesa u kome radi. Na primjer, ako se otkrije kao Windows usluga, radiće se kao DLL datoteka. Ovaj pristup čini još izazovnijim za bezbjednosna rješenja da otkriju i analiziraju komunikaciju zlonamjernog softvera ili identifikuju sve potencijalne indikatore kompromisa (IOC). Pored toga, CloudSorcerer koristi složenu međuprocesnu komunikaciju preko Windows međuprocesnih kanala. Ove cijevi omogućavaju zlonamjernom softveru da komunicira sa drugim procesima koji se pokreću na kompromitovanom sistemu bez ostavljanja sledljivih obrazaca mrežnog saobraćaja. Ovo još više otežava bezbjednosnim rješenjima da efikasno otkriju i analiziraju komunikaciju zlonamjernog softvera.

CloudSorcerer dijeli neke sličnosti sa prethodno prijavljenim APT grupama kao što je CloudWizard; međutim, značajne razlike u kodu i funkcionalnosti sugerišu da je CloudSorcerer vjerovatno novi akter. Čini se da je grupa inspirisana prethodnim CloudWizard tehnikama, ali je razvila svoje jedinstvene alate i metode za sajber špijunažu. Ova prilagodljivost čini da je od suštinske važnosti za organizacije da ostanu informisane o novonastalim trendovima prijetnji i da shodno tome prilagode svoje bezbjednosne strategije.

Kako profesionalci za sajber bezbjednost nastavljaju da se bore sa izazovima koje postavljaju APT grupe kao što je CloudSorcerer, postaje sve jasnije da je višeslojni pristup bezbjednost od suštinskog značaja. Ovo uključuje ulaganje u napredna rješenja za otkrivanje prijetnji, implementaciju robusnih kontrola pristupa i održavanje svesti o novonastalim prijetnjama i trendovima u okruženju sajber bezbjednost. Štaviše, organizacije moraju da daju prioritet efikasnom obezbjeđivanju svojih okruženja u oblaku korištenjem jakih mehanizama za autentifikaciju, enkripcije za podatke u mirovanju i tokom prenosa i nadgledanja bilo kakve sumnjive aktivnosti ili anomalnog ponašanja. Ostajući informisani o ovim evoluirajućim pejzažima prijetnji i prilagođavajući se u skladu sa tim, organizacije se mogu bolje pripremiti za svet sajber prijetnji koje se stalno razvija.

U današnjem međusobno povezanom digitalnom pejzažu, ključno je prepoznati da usluge u oblaku više nisu samo alati za produktivnost, veći potencijalni vektori napada za sofisticirane protivnike kao što je CloudSorcerer. Kao takve, organizacije moraju da daju prioritet efikasnom obezbjeđivanju svog okruženja u oblaku i da se prilagode okruženju prijetnji koje se stalno razvija kako bi osigurale zaštitu svojih kritičnih podataka i zadržale robustan bezbjednosni položaj.

 

ZAŠTITA

Da bi se zaštitili od napredne trajne prijetnje (APT) pod nazivom CloudSorcerer koja iskorištava usluge u oblaku za infrastrukturu za komandu i kontrolu ili isporuku zlonamjernog softvera, preporuka je pratiti ove korake:

  1. Konfigurisati kontrole pristupa primjenom preciznih smjernica pristupa da bi se ograničile potencijalno opasne aktivnosti kao što su otpremanje (eng. upload) i preuzimanje (eng. download) sa pogođenih usluga u oblaku ili njihovih cijelih kategorija. Takođe možda razmotriti potpuno blokiranje nepotrebnih usluga ako predstavljaju značajan rizik,
  2. Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za korisničke naloge da bi se dodao još jedan sloj zaštite od neovlaštenog pristupa i uvjeriti se da svi korisnici imaju jake, jedinstvene lozinke za sve svoje naloge i podstaći korisnike da ih redovno mijenjaju,
  3. Koristiti renomirano sigurnosno riješenje koje podržava skeniranje internet i saobraćaja u oblaku u potrazi za poznatim i nepoznatim prijetnjama. Sveobuhvatan skup mehanizama, uključujući antivirusno zasnovanu zaštitu na potpisima, detektore mašinskog učenja za izvršne datoteke i Office dokumente i izolovanog okruženja (eng. sandbox), može pomoći da se identifikuju i blokiraju zlonamjerne CloudSorcerer aktivnosti,
  4. Održavati sav softver ažurnim sa najnovijim ispravkama i ažuriranjima kako bi se smanjile ranjivosti koje bi mogao da iskoristi CloudSorcerer ili drugi zlonamjerni akteri. Ovo uključuje ne samo usluge u oblaku već i krajnje uređaje i klijente elektronske pošte koji se koriste u organizaciji,
  5. Obrazovati zaposlene o rizicima povezanim sa naprednim trajnim pratnjama (APT), kao što je CloudSorcerer i ohrabriti ih da praktikuju dobru bezbjednosnu higijenu kao što je korištenje jakih lozinki, izbjegavanje sumnjivih elektronskih poruka i linkova i pravovremeno prijavljivanje svih potencijalnih bezbjednosnih incidenata,
  6. Razmisliti o primljeni arhitekture nultog povjerenja(eng. Zero Trust Architecture – ZTA), koja pretpostavlja da sav saobraćaj nije pouzdan i zahteva verifikaciju svakog zahteva koji dolazi iz bilo kog izvora pre nego što se odobri pristup resursima. Ovo može pomoći u sprečavanju napadača koji su dobili pristup jednom djelu infrastrukture da se kreću bočno unutar mreže,
  7. Posjedovati dobro definisan Plan odgovora na sajber prijetnju koji uključuje jasne kanale komunikacije, definisane uloge i odgovornosti i dobro dokumentovane procedure za rukovanje različitim vrstama prijetnji. Ovo može pomoći da se obezbijedi efikasan i koordinisan odgovor kada dođe do incidenta koji uključuje naprednu trajnu prijetnju kao što je CloudSorcerer.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.