New APT Group “CloudSorcerer” Targets Russian Government Entities – OfficialSarkar
एक पहले से अज्ञात उन्नत सतत खतरा (APT) समूह जिसे क्लाउडसॉर्सेर कमांड-एंड-कंट्रोल (सी2) और डेटा एक्सफिलट्रेशन के लिए क्लाउड सेवाओं का लाभ उठाकर रूसी सरकारी संस्थाओं को निशाना बनाते हुए देखा गया है।
साइबर सुरक्षा फर्म कैस्परस्की ने मई 2024 में इस गतिविधि की खोज की थी, खतरे वाले अभिनेता द्वारा अपनाई गई ट्रेडक्राफ्ट क्लाउडविज़ार्ड के समान है, लेकिन मैलवेयर स्रोत कोड में अंतर को इंगित किया। हमले एक अभिनव डेटा-एकत्रण कार्यक्रम और अपने ट्रैक को छिपाने के लिए कई तरह की टालमटोल की रणनीति का उपयोग करते हैं।
रूसी सुरक्षा विक्रेता ने कहा, “यह एक परिष्कृत साइबर जासूसी उपकरण है, जिसका उपयोग माइक्रोसॉफ्ट ग्राफ, यांडेक्स क्लाउड और ड्रॉपबॉक्स क्लाउड इंफ्रास्ट्रक्चर के माध्यम से गुप्त निगरानी, डेटा संग्रह और निष्कासन के लिए किया जाता है।” कहा.
“मैलवेयर क्लाउड संसाधनों को अपने कमांड और कंट्रोल (C2) सर्वर के रूप में उपयोग करता है, और प्रमाणीकरण टोकन का उपयोग करके API के माध्यम से उन तक पहुँचता है। इसके अतिरिक्त, CloudSorcerer GitHub को अपने प्रारंभिक C2 सर्वर के रूप में उपयोग करता है।”
लक्ष्यों में घुसपैठ करने के लिए उपयोग की जाने वाली सटीक विधि वर्तमान में अज्ञात है, लेकिन प्रारंभिक पहुंच का उपयोग C-आधारित पोर्टेबल निष्पादन योग्य बाइनरी को छोड़ने के लिए किया जाता है, जिसका उपयोग बैकडोर के रूप में किया जाता है, C2 संचार आरंभ किया जाता है, या उस प्रक्रिया के आधार पर अन्य वैध प्रक्रियाओं में शेलकोड इंजेक्ट किया जाता है जिसमें इसे निष्पादित किया जाता है – अर्थात mspaint.exe, msiexec.exe, या जिसमें “ब्राउज़र” स्ट्रिंग शामिल है।
कैस्परस्की ने कहा, “इस मैलवेयर की, जिस प्रक्रिया में यह चल रहा है, उसके आधार पर अपने व्यवहार को गतिशील रूप से अनुकूलित करने की क्षमता, तथा विंडोज पाइप्स के माध्यम से जटिल अंतर-प्रक्रिया संचार के उपयोग से इसकी परिष्कृतता और अधिक उजागर होती है।”
बैकडोर घटक को पीड़ित मशीन के बारे में जानकारी एकत्र करने और फ़ाइलों और फ़ोल्डरों की गणना करने, शेल कमांड निष्पादित करने, फ़ाइल संचालन करने और अतिरिक्त पेलोड चलाने के लिए निर्देश प्राप्त करने के लिए डिज़ाइन किया गया है।
C2 मॉड्यूल, अपने हिस्से के लिए, एक GitHub पेज से जुड़ता है जो एक के रूप में कार्य करता है डेड ड्रॉप रिज़ॉल्वर माइक्रोसॉफ्ट ग्राफ या यांडेक्स क्लाउड पर होस्ट किए गए वास्तविक सर्वर की ओर इशारा करते हुए एक एन्कोडेड हेक्स स्ट्रिंग प्राप्त करने के लिए।
“वैकल्पिक रूप से, GitHub से कनेक्ट करने के बजाय, CloudSorcerer भी hxxps://my.mail से समान डेटा प्राप्त करने का प्रयास करता है[.]ru/, जो एक रूसी क्लाउड-आधारित फोटो होस्टिंग सर्वर है,” कैस्परस्की ने कहा। “फोटो एल्बम के नाम में वही हेक्स स्ट्रिंग है।”
“क्लाउडसॉर्सेरर मैलवेयर रूसी सरकारी संस्थाओं को लक्षित करने वाले एक परिष्कृत टूलसेट का प्रतिनिधित्व करता है। C2 अवसंरचना के लिए Microsoft Graph, Yandex Cloud और Dropbox जैसी क्लाउड सेवाओं के साथ-साथ प्रारंभिक C2 संचार के लिए GitHub का उपयोग, साइबर जासूसी के लिए एक सुनियोजित दृष्टिकोण को प्रदर्शित करता है।”
Source: TheHackerNews
