网络安全公司卡巴斯基发现，一个名为 CloudSorcerer的新型APT组织通过滥用公共云服务，对俄罗斯政府机构实施攻击并窃取数据。

卡巴斯基于 2024 年 5 月发现了这一活动，攻击者采用的技术与 CloudWizard 相似，但指出了恶意软件源代码的不同之处，称这是一种复杂的网络间谍工具，通过Microsoft Graph、Yandex Cloud和 Dropbox 云基础设施进行隐形监控、数据收集和泄露。

该恶意软件利用云资源作为其命令和控制（C2）服务器，通过使用身份验证令牌的 API 访问这些资源。此外，CloudSorcerer 还使用 GitHub 作为其初始 C2 服务器。目前尚不清楚用于渗透目标的确切方法，但初始访问被用来投放基于 C 语言的便携式可执行程序二进制文件，该二进制文件可用作后门、启动 C2 通信，或根据其执行的进程向其他合法进程注入 shellcode。

卡巴斯基指出，该恶意软件能够根据所运行的进程动态调整其行为，再加上它通过 Windows 管道使用复杂的进程间通信，这进一步凸显了它的复杂性。后门组件旨在收集受害者机器的信息，并检索指令以枚举文件和文件夹、执行 shell 命令、执行文件操作和运行其他有效载荷。

此外，恶意软件的后门组件能收集受害者机器的信息，并获取枚举文件和文件夹、执行shell命令、执行文件操作和运行其他有效载荷的指令。

C2模块则连接到一个GitHub页面，该页面充当死区解析器（dead drop resolver），以获取一个十六进制字符串，该字符串指向托管在Microsoft Graph或Yandex Cloud上的实际服务器。此外，CloudSorcerer没有连接到GitHub，而是试图从一个基于俄罗斯云的照片托管服务器获取相同的数据。

由于使用 Microsoft Graph、Yandex Cloud 和 Dropbox 等云服务作为 C2 基础设施，并使用 GitHub 进行初始 C2 通信，显示这是通过精心策划的网络间谍攻击。

总体而言，CloudSorcerer 后门是一种强大的工具，使攻击者能够在受感染的机器上执行恶意操作。目前卡巴斯基已发布用于检测CloudSorcerer恶意软件的入侵指标（IoC）和Yara规则。

参考资料：

https://thehackernews.com/2024/07/new-apt-group-cloudsorcerer-targets.html