CloudSorcerer, un nuovo gruppo APT che colpisce le agenzie governative russe
2024-7-10 20:0:41 Author: www.securityinfo.it(查看原文) 阅读量:6 收藏

Lug 10, 2024 Malware, Minacce, News, RSS


I ricercatori di Securelist di Kaspersky hanno individuato CloudSorcerer, un nuovo gruppo APT che prende di mira le agenzie governative russe.

La gang usa un tool di cyberspionaggio sofisticato per monitorare i dispositivi colpiti e ottenere i dati sensibili sfruttando l’infrastruttura cloud di Microsoft Graph, Tandex Cloud e Dropbox come server C2.

Dopo aver ottenuto l’accesso iniziale, il gruppo esegue il malware, un binario scritto in C, che inizializza l’ambiente di attività e i moduli. Uno dei moduli centrali del malware è la backdoor, la quale si occupa di collezionare diverse informazioni sul sistema colpito, come il nome del computer, lo username e l’uptime di sistema, e inviarle agli attaccanti. Inizialmente i dati vengono memorizzati in una struttura specifica creata a hoc; una volta che il processo di raccolta è completo, le informazioni vengono scritte su una pipe connessa al modulo C2 per la comunicazione.

CloudSorcerer

Pixabay

La stessa pipe viene usata dal malware per ricevere comandi dagli attaccanti. I comandi comprendono, oltre alla raccolta di dati, l’esecuzione di comandi shell, la modifica e la cancellazione di file e l’injection di una shellcode in uno o più processi.

Il server C2 iniziale a cui si collega il modulo di comunicazione è una pagina GitHub relativa a un repository che contiene fork di tre progetti pubblici mai aggiornati. “L’obiettivo è semplicemente far apparire la pagina GitHub legittima e attiva“.

I ricercatori sottolineano che il modus operandi del gruppo ricorda molto quello di CloudWizard APT, attivo nel 2023, ma il codice del malware è completamente diverso. “Riteniamo che CloudSorcerer sia un nuovo gruppo che ha adottato un metodo simile per interagire con i servizi di cloud pubblico” spiega il team di Securelist. “La capacità del malware di adattare dinamicamente il suo comportamento in base al processo in cui è in esecuzione, insieme all’uso di una complessa comunicazione tra processi attraverso le pipe di Windows, evidenzia ulteriormente la sua sofisticatezza“.

In seguito, i ricercatori di Threat Insight hanno scoperto una campagna contro organizzazioni statunitensi che utilizza le stesse tecniche messe in pratica da CloudSorcerer. La compagnia ha attribuito le attività a un cluster soprannominato UNK_ArbitraryAcrobat, probabilmente un gruppo diverso che sta imitando le tattiche di CloudSorcerer.



Altro in questa categoria


文章来源: https://www.securityinfo.it/2024/07/10/cloudsorcerer-un-nuovo-gruppo-apt-che-colpisce-le-agenzie-governative-russe/
如有侵权请联系:admin#unsafe.sh