{"id":7006,"date":"2024-08-01T21:53:56","date_gmt":"2024-08-01T19:53:56","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7006"},"modified":"2024-08-01T21:53:56","modified_gmt":"2024-08-01T19:53:56","slug":"cloudsorcerer-cilja-na-ruske-vladine-entitete","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/","title":{"rendered":"CloudSorcerer cilja na ruske vladine entitete"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni softver<\/a> <em>CloudSorcerer<\/em> je sofisticirani skup alata za sajber \u0161pijuna\u017eu koji cilja na ruske vladine entitete, koriste\u0107i razli\u010dite usluge u oblaku za infrastrukturu za komandu i kontrolu (<em>C2<\/em>) i skladi\u0161tenje podataka. <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2024_kaspersky-identifies-new-apt-group-targeting-russian-government-entities\" target=\"_blank\" rel=\"noopener\">Otkrili su ga <em>Kaspersky<\/em> bezbjednosni istra\u017eiva\u010di<\/a> u maju 2024. godine, ova <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredna trajna prijetnja<\/a> (eng. <em>Advanced persistent threat \u2013 APT<\/em>) koristi prilago\u0111eni zlonamjerni softver koji prilago\u0111ava svoje pona\u0161anje na osnovu pokrenutog procesa i komunicira kroz slo\u017eenu me\u0111uprocesnu komunikaciju koriste\u0107i <em>Windows<\/em> me\u0111uprocesne kanale.<\/span><\/p>\n<div id=\"attachment_7007\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7007\" class=\"size-full wp-image-7007\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT.jpg\" alt=\"CloudSorcerer\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/CloudSorcerer-APT-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7007\" class=\"wp-caption-text\"><em>CloudSorcerer cilja na ruske vladine entitete; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#CLOUDSORCERER\">CLOUDSORCERER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#Funkcionisanje\">Funkcionisanje<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#C2_infrastruktura\">C2 infrastruktura<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#Microsoft_Graph\">Microsoft Graph<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#Yandex_Cloud\">Yandex Cloud<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#Dropbox\">Dropbox<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#GitHub\">GitHub<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#Eksfiltracija_podataka\">Eksfiltracija podataka<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/01\/cloudsorcerer-cilja-na-ruske-vladine-entitete\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"CLOUDSORCERER\"><\/span><strong><em>CLOUDSORCERER<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Ra\u010dunarstvo u oblaku je promijenilo na\u010din na koji preduze\u0107a rade i \u010duvaju podatke. Me\u0111utim, ovaj pomak ka infrastrukturi zasnovanoj na oblaku tako\u0111e dolazi sa sopstvenim skupom izazova, posebno u pogledu bezbjednosti. Jedna takva napredna trajna prijetnja (<em>APT<\/em>) koja isti\u010de ove probleme je <em>CloudSorcerer<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer<\/em>, kako su ga nazvali sigurnosni istra\u017eiva\u010di, je napredni <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akter<\/a> koji je stekao ozlogla\u0161enost zbog svojih sofisticiranih taktika, tehnika i procedura (eng. <em>tactics, techniques, and procedures \u2013 TTP<\/em>). \u010cini se da je primarni cilj grupe Infiltracija u ruske vladine entitete, \u0161to je \u010dini zna\u010dajnom prijetnjom za nacionalnu bezbjednost. Jedna od najintrigantnijih karakteristika <em>CloudSorcerer<\/em> prijetnje je njena ekstenzivna upotreba vi\u0161estrukih legitimnih usluga u oblaku kroz lanac napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Napad po\u010dinje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear<\/em>&#8211;<em>phishing<\/em><\/a> elektronskom po\u0161tom koja sadr\u017ei zlonamjernu vezu ili prilog koji preuzima po\u010detni korisni teret sa <em>GitHub<\/em> platforme. Kada se izvr\u0161i, ovaj teret uspostavlja komunikaciju sa primarnim <em>C2<\/em> serverima na <em>Microsoft<\/em> <em>Grap<\/em> ili <em>Yandex<\/em> <em>Clou<\/em> koriste\u0107i <em>Windows<\/em> me\u0111uprocesne kanale za me\u0111uprocesnu komunikaciju. Ovaj metod omogu\u0107ava zlonamjernom softveru da prilagodi svoje pona\u0161anje na osnovu procesa u kome radi, \u0161to ote\u017eava bezbjednosnim rje\u0161enjima da otkriju i ubla\u017ee posljedice.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>CloudSorcerer<\/em> pokre\u0107e razli\u010dite funkcije u zavisnosti od otkrivenog naziva procesa. Ako identifikuje \u201c<em>mspaint.exe<\/em>\u201d, on djeluje kao <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>modul, prikuplja podatke i izvr\u0161ava k\u00f4d. Nasuprot tome, ako otkrije \u201c<em>msiexec.exe<\/em>\u201d, aktivira svoj komunikacioni modul <em>C2<\/em>. Ako nijedan od ovih uslova nije ispunjen, zlonamjerni softver poku\u0161ava da ubaci k\u00f4d komandnog okru\u017eenja u ciljane procese pre nego \u0161to se zavr\u0161i.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer<\/em> zatim nastavlja sa evidentiranjem mre\u017enih informacija i mapiranjem udaljenih mre\u017enih diskova, prikupljaju\u0107i vrijedne podatke o sistemu \u017ertve i mre\u017enoj infrastrukturi. Tako\u0111e evidentira sve <em>RDP<\/em> sesije na kompromitovanom ure\u0111aj, potencijalno omogu\u0107avaju\u0107i napada\u010dima pristup drugim sistemima unutar ciljane organizacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver zatim kreira listu datoteka i fascikli, omogu\u0107avaju\u0107i napada\u010dima da selektivno eksfiltriraju osjetljive podatke iz sistema \u017ertve. Tako\u0111e kopira, premje\u0161ta ili bri\u0161e bilo koju datoteku po potrebi napada\u010da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"C2_infrastruktura\"><\/span><strong><span style=\"font-size: 14pt;\"><em>C2<\/em> infrastruktura<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>C2<\/em> \u2013 komandna i kontrolna infrastruktura ovog zlonamjernog softvera povezuje se sa uslugama u oblaku kao \u0161to su <em>Microsoft<\/em> <em>Graph<\/em>, <em>Yandex<\/em> <em>Cloud<\/em>, <em>Dropbox<\/em> i <em>GitHub<\/em>. Kori\u0161tenje usluga u oblaku od strane zlonamjernog softvera kao dijela njegovog lanca napada je dobro planiran pristup dizajniran da izbjegne otkrivanje i obezbijedi dugovje\u010dnost njegovih operacija. <em>CloudSorcerer<\/em> grupa razumije da ove platforme \u0161iroko koriste organizacije, \u0161to im olak\u0161ava rad.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Microsoft_Graph\"><\/span><strong><em><span style=\"font-size: 14pt;\">Microsoft Graph<\/span><\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Microsoft<\/em> <em>Graph<\/em> je <em>API<\/em> koji omogu\u0107ava programerima da pristupe <em>Microsoft<\/em> <em>365<\/em> podacima, uklju\u010duju\u0107i elektronsku po\u0161tu, kontakte, kalendar, datoteke i jo\u0161 mnogo toga. <em>CloudSorcerer<\/em> koristi ovu uslugu kao dio svoje <em>C2<\/em> infrastrukture tako \u0161to kreira registraciju aplikacije u <em>Azure<\/em> <em>Active<\/em> <em>Directory<\/em> (<em>AAD<\/em>) za svaku kompromitovanu ma\u0161inu. Zlonamjerni softver zatim registruje internet udica (eng. <em>webhooks<\/em>) koje slu\u0161aju dolazne <em>HTTP<\/em> <em>POST<\/em> zahteve sa komandnog servera napada\u010da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Yandex_Cloud\"><\/span><em><span style=\"font-size: 14pt;\"><strong>Yandex Cloud<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Yandex<\/em> <em>Cloud<\/em> je jo\u0161 jedna platforma u oblaku koju koristi <em>CloudSorcerer<\/em> kao dio svoje <em>C2<\/em> infrastrukture. Obezbje\u0111uje infrastrukturu kao uslugu (eng. <em>Infrastructure-as-a-Service \u2013 IaaS<\/em>) i platformu kao uslugu (eng. <em>Platform-as-a-Service \u2013 PaaS<\/em>), \u0161to ga \u010dini privla\u010dnom metom za napada\u010de koji \u017eele da skladi\u0161te svoj zlonamjerni softver ili eksfiltriraju podatke iz kompromitovanih sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Dropbox\"><\/span><em><span style=\"font-size: 14pt;\"><strong>Dropbox<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer<\/em> koristi <em>Dropbox<\/em> kao sekundarni <em>C2<\/em> server, \u010duvaju\u0107i po\u010detne korisne terete koji se kasnije preuzimaju i izvr\u0161avaju na ma\u0161ini \u017ertve. Napada\u010di koriste <em>Dropbox API<\/em> da kreiraju dijeljene fascikle za svaku ciljanu organizaciju, \u0161to olak\u0161ava distribuciju zlonamjernog softvera \u0161irom njihove mre\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"GitHub\"><\/span><em><span style=\"font-size: 14pt;\"><strong>GitHub<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>GitHub<\/em> koristi <em>CloudSorcerer<\/em> kao inicijalni <em>C2<\/em> server, u kojem se nalazi spremi\u0161te koje sadr\u017ei po\u010detni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a> koji inficira ma\u0161inu \u017ertve. Napada\u010di koriste ovaj metod za isporuku zlonamjernog softvera putem elektronske po\u0161te ili tehnikama dru\u0161tvenog in\u017eenjeringa. Kada se izvr\u0161i, zlonamjerni softver uspostavlja komunikaciju sa svojim primarnim <em>C2<\/em> serverima na <em>Microsoft<\/em> <em>Graph<\/em> i <em>Yandex<\/em> <em>Cloud <\/em>platformama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Eksfiltracija_podataka\"><\/span><strong>Eksfiltracija podataka<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer<\/em> kori\u0161tenje vi\u0161estrukih usluga u oblaku ne zaustavlja se samo na <em>C2<\/em> infrastrukturi. Istra\u017eiva\u010di su tako\u0111e primijetili da ova <em>APT<\/em> grupa koristi <em>Dropbox<\/em> za eksfiltraciju podataka. Kori\u0161tenjem legitimne usluge kao \u0161to je <em>Dropbox<\/em>, <em>CloudSorcerer<\/em> mo\u017ee lako izbje\u0107i otkrivanje i uklopiti se sa redovnim aktivnostima korisnika. Ova taktika je posebno efikasna jer mnoge organizacije dozvoljavaju kori\u0161\u0107enje usluga skladi\u0161tenja u oblaku u poslovne svrhe.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Posljedice ovakvih napada su dalekose\u017ene. Oni isti\u010du potrebu da organizacije preispitaju svoje bezbjednosne strategije kada su u pitanju usluge u oblaku. Tradicionalna odbrana perimetra mo\u017eda vi\u0161e ne\u0107e biti dovoljna, jer napada\u010di nastavljaju da pronalaze inovativne na\u010dine da iskoriste legitimnu infrastrukturu oblaka. Umjesto toga, neophodan je novi pristup koji uklju\u010duje edukaciju korisnika, autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) i kontinuirano pra\u0107enje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer<\/em> predstavlja novu vrstu sajber prijetnji koje iskori\u0161\u0107avaju vi\u0161e legitimnih usluga u oblaku za obavljanje sofisticiranih \u0161pijunskih aktivnosti. Sposobnost grupe da se uklopi sa normalnim mre\u017enim saobra\u0107ajem kori\u0161tenjem naizgled bezazlenih platformi za <em>C2<\/em> komunikaciju i eksfiltraciju podataka \u010dini to izazovnijim za bezbjednosne timove za efikasno otkrivanje i ubla\u017eavanje potencijalnih prijetnji. Ove platforme se \u0161iroko koriste u organizacijama, \u0161to bezbjednosnim timovima \u010dini izazovnijim da identifikuju anomalno pona\u0161anje ili obrasce mre\u017enog saobra\u0107aja. \u0160tavi\u0161e, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovani<\/a> priroda prenosa i skladi\u0161tenja podataka ote\u017eava tradicionalnim bezbjednosnim rje\u0161enjima da otkriju bilo kakvu zlonamjernu aktivnost.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer z<\/em>lonamjerni softver nije samo sofisticiran ve\u0107 i prilagodljiv. Primije\u0107eno je da sr dinami\u010dki mijenja svoje pona\u0161anje na osnovu procesa u kome radi. Na primjer, ako se otkrije kao <em>Windows<\/em> usluga, radi\u0107e se kao <em>DLL<\/em> datoteka. Ovaj pristup \u010dini jo\u0161 izazovnijim za bezbjednosna rje\u0161enja da otkriju i analiziraju komunikaciju zlonamjernog softvera ili identifikuju sve potencijalne indikatore kompromisa (<em>IOC<\/em>). Pored toga, <em>CloudSorcerer<\/em> koristi slo\u017eenu me\u0111uprocesnu komunikaciju preko <em>Windows<\/em> me\u0111uprocesnih kanala. Ove cijevi omogu\u0107avaju zlonamjernom softveru da komunicira sa drugim procesima koji se pokre\u0107u na kompromitovanom sistemu bez ostavljanja sledljivih obrazaca mre\u017enog saobra\u0107aja. Ovo jo\u0161 vi\u0161e ote\u017eava bezbjednosnim rje\u0161enjima da efikasno otkriju i analiziraju komunikaciju zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CloudSorcerer<\/em> dijeli neke sli\u010dnosti sa prethodno prijavljenim <em>APT<\/em> grupama kao \u0161to je <em>CloudWizard<\/em>; me\u0111utim, zna\u010dajne razlike u kodu i funkcionalnosti sugeri\u0161u da je <em>CloudSorcerer<\/em> vjerovatno novi akter. \u010cini se da je grupa inspirisana prethodnim <em>CloudWizard<\/em> tehnikama, ali je razvila svoje jedinstvene alate i metode za sajber \u0161pijuna\u017eu. Ova prilagodljivost \u010dini da je od su\u0161tinske va\u017enosti za organizacije da ostanu informisane o novonastalim trendovima prijetnji i da shodno tome prilagode svoje bezbjednosne strategije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako profesionalci za <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a> nastavljaju da se bore sa izazovima koje postavljaju <em>APT<\/em> grupe kao \u0161to je <em>CloudSorcerer<\/em>, postaje sve jasnije da je vi\u0161eslojni pristup bezbjednost od su\u0161tinskog zna\u010daja. Ovo uklju\u010duje ulaganje u napredna rje\u0161enja za otkrivanje prijetnji, implementaciju robusnih kontrola pristupa i odr\u017eavanje svesti o novonastalim prijetnjama i trendovima u okru\u017eenju sajber bezbjednost. \u0160tavi\u0161e, organizacije moraju da daju prioritet efikasnom obezbje\u0111ivanju svojih okru\u017eenja u oblaku kori\u0161tenjem jakih mehanizama za autentifikaciju, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripcije<\/a> za podatke u mirovanju i tokom prenosa i nadgledanja bilo kakve sumnjive aktivnosti ili anomalnog pona\u0161anja. Ostaju\u0107i informisani o ovim evoluiraju\u0107im pejza\u017eima prijetnji i prilago\u0111avaju\u0107i se u skladu sa tim, organizacije se mogu bolje pripremiti za svet sajber prijetnji koje se stalno razvija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U dana\u0161njem me\u0111usobno povezanom digitalnom pejza\u017eu, klju\u010dno je prepoznati da usluge u oblaku vi\u0161e nisu samo alati za produktivnost, ve\u0107i potencijalni vektori napada za sofisticirane protivnike kao \u0161to je <em>CloudSorcerer<\/em>. Kao takve, organizacije moraju da daju prioritet efikasnom obezbje\u0111ivanju svog okru\u017eenja u oblaku i da se prilagode okru\u017eenju prijetnji koje se stalno razvija kako bi osigurale za\u0161titu svojih kriti\u010dnih podataka i zadr\u017eale robustan bezbjednosni polo\u017eaj.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se za\u0161titili od napredne trajne prijetnje (<em>APT<\/em>) pod nazivom <em>CloudSorcerer<\/em> koja iskori\u0161tava usluge u oblaku za infrastrukturu za komandu i kontrolu ili isporuku zlonamjernog softvera, preporuka je pratiti ove korake:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Konfigurisati kontrole pristupa primjenom preciznih smjernica pristupa da bi se ograni\u010dile potencijalno opasne aktivnosti kao \u0161to su otpremanje (eng. <em>upload<\/em>) i preuzimanje (eng. <em>download<\/em>) sa pogo\u0111enih usluga u oblaku ili njihovih cijelih kategorija. Tako\u0111e mo\u017eda razmotriti potpuno blokiranje nepotrebnih usluga ako predstavljaju zna\u010dajan rizik,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) za korisni\u010dke naloge da bi se dodao jo\u0161 jedan sloj za\u0161tite od neovla\u0161tenog pristupa i uvjeriti se da svi korisnici imaju jake, jedinstvene lozinke za sve svoje naloge i podsta\u0107i korisnike da ih redovno mijenjaju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti renomirano sigurnosno rije\u0161enje koje podr\u017eava skeniranje internet i saobra\u0107aja u oblaku u potrazi za poznatim i nepoznatim prijetnjama. Sveobuhvatan skup mehanizama, uklju\u010duju\u0107i antivirusno zasnovanu za\u0161titu na potpisima, detektore ma\u0161inskog u\u010denja za izvr\u0161ne datoteke i <em>Office<\/em> dokumente i izolovanog okru\u017eenja (eng. <em>sandbox<\/em>), mo\u017ee pomo\u0107i da se identifikuju i blokiraju zlonamjerne <em>CloudSorcerer <\/em>aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati sav softver a\u017eurnim sa najnovijim ispravkama i a\u017euriranjima kako bi se smanjile ranjivosti koje bi mogao da iskoristi <em>CloudSorcerer<\/em> ili drugi zlonamjerni akteri. Ovo uklju\u010duje ne samo usluge u oblaku ve\u0107 i krajnje ure\u0111aje i klijente elektronske po\u0161te koji se koriste u organizaciji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati zaposlene o rizicima povezanim sa naprednim trajnim pratnjama (<em>APT<\/em>), kao \u0161to je <em>CloudSorcerer<\/em> i ohrabriti ih da praktikuju dobru bezbjednosnu higijenu kao \u0161to je kori\u0161tenje jakih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a>, izbjegavanje sumnjivih elektronskih poruka i linkova i pravovremeno prijavljivanje svih potencijalnih bezbjednosnih incidenata,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razmisliti o primljeni arhitekture nultog povjerenja(eng. <em>Zero Trust Architecture \u2013 ZTA<\/em>), koja pretpostavlja da sav saobra\u0107aj nije pouzdan i zahteva verifikaciju svakog zahteva koji dolazi iz bilo kog izvora pre nego \u0161to se odobri pristup resursima. Ovo mo\u017ee pomo\u0107i u spre\u010davanju napada\u010da koji su dobili pristup jednom djelu infrastrukture da se kre\u0107u bo\u010dno unutar mre\u017ee,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Posjedovati dobro definisan <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a> koji uklju\u010duje jasne kanale komunikacije, definisane uloge i odgovornosti i dobro dokumentovane procedure za rukovanje razli\u010ditim vrstama prijetnji. Ovo mo\u017ee pomo\u0107i da se obezbijedi efikasan i koordinisan odgovor kada do\u0111e do incidenta koji uklju\u010duje naprednu trajnu prijetnju kao \u0161to je <em>CloudSorcerer<\/em>.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Zlonamjerni softver CloudSorcerer je sofisticirani skup alata za sajber \u0161pijuna\u017eu koji cilja na ruske vladine entitete, koriste\u0107i razli\u010dite usluge u oblaku za infrastrukturu za komandu i kontrolu (C2) i skladi\u0161tenje podataka. Otkrili su ga&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7007,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1878,1883,1876,1881,1882,1880,1884,1877,1885,1285,1879],"class_list":["post-7006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt-attack","tag-cloud-services-c2","tag-cloudsorcerer-apt","tag-dropbox-c2","tag-github-c2-server","tag-microsoft-graph-c2","tag-russian-government-entities-targeted","tag-russiancyberespionage","tag-russianfederationtargeted","tag-sophisticated-malware","tag-yandex-cloud-infiltration"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7006"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7006\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7007"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}