CloudSorcerer: кибершпионаж из облаков

08.07.2024
CloudSorcerer: кибершпионаж из облаков

В мае 2024 года эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) выявили кампанию кибершпионажа, нацеленную на российские государственные организации. Она получила название CloudSorcerer. Атакующие использовали сложный инструмент, который обращается к облачным сервисам и Github в качестве командно-контрольных серверов.

Методы злоумышленников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной экспертами «Лаборатории Касперского» в 2023 году, однако код вредоносного ПО совершенно иной. За CloudSorcerer скорее всего стоит другая кибергруппа, применившая аналогичный метод взаимодействия с публичными облачными службами. При этом код вредоносного ПО написан качественно и без ошибок. Доступ к облачным сервисам (например, Dropboх) злоумышленники получают через API с помощью токенов аутентификации.

Для проведения атак кибергруппа использует многоступенчатую стратегию. Сначала злоумышленники вручную разворачивают вредоносное ПО на заражённом устройстве. После запуска CloudSorcerer адаптирует свои возможности в зависимости от настроек системы. В зависимости от полученного имени процесса вредоносная программа активирует различные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером, внедрение шелл-кода.

Способность вредоносной программы динамически адаптировать своё поведение в зависимости от процесса, в котором она запущена, а также использовать сложное межпроцессное взаимодействие через каналы Windows ещё больше подчеркивает её проработанность.

CloudSorcerer применяет оригинальные методы обфускации и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для выполнения атак.

«В этой кампании кибершпионажа злоумышленники хитроумно используют публичные облачные сервисы для шпионажа, скрывая с их помощью свои действия. Это подтверждает, что защитная стратегия предприятия должна включать в себя инструменты, которые позволят распознавать и смягчать последствия таких методов», — комментирует Сергей Ложкин, ведущий эксперт «Лаборатории Касперского» по кибербезопасности.

«Лаборатория Касперского» продолжает отслеживать и анализировать деятельность кибергруппы CloudSorcerer и обновляет свои защитные решения и аналитические сервисы в соответствии с новой информацией. 

Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:

  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах;
  • внедрять EDR-решения для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов;
  • в дополнение к основным защитным продуктам использовать решение для защиты корпоративной инфраструктуры, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии;
  • обучать сотрудников базовым правилам кибергигиены, поскольку целевые атаки часто начинаются с фишинга или других техник социальной инженерии.

Итоги премии «Киберпросвет» 2024 Итоги премии «Киберпросвет» 2024
Популярные материалы