В мае 2024 года эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) выявили кампанию кибершпионажа, нацеленную на российские государственные организации. Она получила название CloudSorcerer. Атакующие использовали сложный инструмент, который обращается к облачным сервисам и Github в качестве командно-контрольных серверов.
Методы злоумышленников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной экспертами «Лаборатории Касперского» в 2023 году, однако код вредоносного ПО совершенно иной. За CloudSorcerer скорее всего стоит другая кибергруппа, применившая аналогичный метод взаимодействия с публичными облачными службами. При этом код вредоносного ПО написан качественно и без ошибок. Доступ к облачным сервисам (например, Dropboх) злоумышленники получают через API с помощью токенов аутентификации.
Для проведения атак кибергруппа использует многоступенчатую стратегию. Сначала злоумышленники вручную разворачивают вредоносное ПО на заражённом устройстве. После запуска CloudSorcerer адаптирует свои возможности в зависимости от настроек системы. В зависимости от полученного имени процесса вредоносная программа активирует различные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером, внедрение шелл-кода.
Способность вредоносной программы динамически адаптировать своё поведение в зависимости от процесса, в котором она запущена, а также использовать сложное межпроцессное взаимодействие через каналы Windows ещё больше подчеркивает её проработанность.
CloudSorcerer применяет оригинальные методы обфускации и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для выполнения атак.
«В этой кампании кибершпионажа злоумышленники хитроумно используют публичные облачные сервисы для шпионажа, скрывая с их помощью свои действия. Это подтверждает, что защитная стратегия предприятия должна включать в себя инструменты, которые позволят распознавать и смягчать последствия таких методов», — комментирует Сергей Ложкин, ведущий эксперт «Лаборатории Касперского» по кибербезопасности.
«Лаборатория Касперского» продолжает отслеживать и анализировать деятельность кибергруппы CloudSorcerer и обновляет свои защитные решения и аналитические сервисы в соответствии с новой информацией.
Подробности о новой кампании можно прочитать в материале по ссылке.
Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:
- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям открыт по ссылке https://opentip.kaspersky.com/;
- внедрять EDR-решения, например Kaspersky Endpoint Detection and Response, для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов;
- в дополнение к основным защитным продуктам использовать решение для защиты корпоративной инфраструктуры, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform;
- обучать сотрудников базовым правилам кибергигиены, поскольку целевые атаки часто начинаются с фишинга или других техник социальной инженерии.
