Een nieuwe geavanceerde aanhoudende dreigingsgroep (APT) genaamd CloudSorcerer misbruikt openbare clouddiensten om data te stelen van Russische overheidsorganisaties in cyberespionage-aanvallen.

Kaspersky-onderzoekers ontdekten de cyberespionagegroep in mei 2024. Ze rapporteren dat CloudSorcerer aangepaste malware gebruikt die legitieme clouddiensten inzet voor command en control (C2) operaties en dataopslag.

Kaspersky merkt op dat de modus operandi van CloudSorcerer lijkt op die van CloudWizard APT, maar hun malware is onderscheidend, waardoor beveiligingsonderzoekers geloven dat dit een nieuwe dreigingsactor is.

Details van de CloudSorcerer-malware

Hoewel Kaspersky niet uitlegt hoe de dreigingsactoren aanvankelijk toegang krijgen tot een netwerk, zeggen ze dat ze de aangepaste Windows-backdoor handmatig uitvoeren.

De malware vertoont gedrag dat specifiek is voor het proces waarin hij is geïnjecteerd, wat hij bepaalt met behulp van ‘GetModuleFileNameA.’

Als het wordt uitgevoerd vanuit “mspaint.exe,” fungeert het als een backdoor, verzamelt het gegevens en voert het code uit. Echter, als het wordt opgestart binnen “msiexec.exe,” initieert het eerst C2-communicatie om opdrachten te ontvangen die moeten worden uitgevoerd.

De eerste communicatie is een verzoek aan een GitHub-repository (op het moment van schrijven actief) die een hexadecimale string bevat die bepaalt welke clouddienst moet worden gebruikt voor verdere C2-operaties: Microsoft Graph, Yandex Cloud of Dropbox.

Voor processen die niet overeenkomen met een hardcoded gedrag, injecteert de malware shellcode in het MSIexec-, MSPaint- of Explorer-proces en beëindigt het initiële proces.

De shellcode analyseert het Process Environment Block (PEB) om offsetwaarden van kern-Windows-DLL’s te identificeren, identificeert vereiste Windows-API’s met behulp van het ROR14-algoritme en mapt de CloudSorcerer-code in het geheugen van gerichte processen.

Gegevensuitwisseling tussen modules is georganiseerd via Windows-pijpen voor naadloze inter-process communicatie.

Het backdoor-module, dat de gegevensdiefstal uitvoert, verzamelt systeeminformatie zoals computernaam, gebruikersnaam, Windows-subversie en systeem-uptime.

Het ondersteunt ook een reeks commando’s die worden opgehaald van de C2, waaronder:

• Uitvoeren van shell-opdrachten met behulp van de ‘ShellExecuteExW’ API
• Bestanden kopiëren, verplaatsen, hernoemen of verwijderen
• Ontvangen van een shellcode vanuit de pijp en deze injecteren in een willekeurig proces door geheugen toe te wijzen en een nieuwe thread te creëren in een extern proces
• Ontvangen van een PE-bestand, een sectie creëren en deze mappen in een extern proces
• Een proces creëren met behulp van COM-interfaces
• Een proces creëren als een specifieke gebruiker
• Een nieuwe service creëren of een bestaande service wijzigen
• Nieuwe netwerkgebruikers toevoegen of legitieme gebruikers uit het systeem verwijderen

Al met al is de CloudSorcerer-backdoor een krachtig hulpmiddel dat de dreigingsactoren in staat stelt kwaadaardige handelingen uit te voeren op geïnfecteerde machines.

Kaspersky karakteriseert de CloudSorcerer-aanvallen als zeer geavanceerd vanwege de dynamische aanpassingsvermogen van de malware en de verborgen gegevenscommunicatiemechanismen.

Indicators of compromise (IoC) en Yara-regels voor het detecteren van de CloudSorcerer-malware zijn beschikbaar onderaan het rapport van Kaspersky.