Обнаружена хитроумная целевая кибератака на российские госструктуры

Эксперты «Лаборатории Касперского» выявили кампанию кибершпионажа, нацеленную на российские государственные организации. Она получила название CloudSorcerer. Атакующие использовали сложный инструмент, который обращается к облачным сервисам и Github в качестве командно-контрольных серверов.

Обнаружена «хитроумная» целевая кибератака на российские госструктуры
Сгенерировано нейросетью Dall-E

Методы злоумышленников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной экспертами «Лаборатории Касперского» в 2023 году, однако код вредоносного ПО совершенно иной. За CloudSorcerer скорее всего стоит другая кибергруппа, применившая аналогичный метод взаимодействия с публичными облачными службами. При этом код вредоносного ПО написан качественно и без ошибок. Доступ к облачным сервисам (например, Dropboх) злоумышленники получают через API с помощью токенов аутентификации.

Для проведения атак кибергруппа использует многоступенчатую стратегию. Сначала злоумышленники вручную разворачивают вредоносное ПО на заражённом устройстве. После запуска CloudSorcerer адаптирует свои возможности в зависимости от настроек системы. В зависимости от полученного имени процесса вредоносная программа активирует различные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером, внедрение шелл-кода.

Способность вредоносной программы динамически адаптировать своё поведение в зависимости от процесса, в котором она запущена, а также использовать сложное межпроцессное взаимодействие через каналы Windows ещё больше подчеркивает её проработанность.

CloudSorcerer применяет оригинальные методы обфускации и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для выполнения атак.

Ведущий эксперт «Лаборатории Касперского» по кибербезопасности Сергей Ложкин рассказал:

В этой кампании кибершпионажа злоумышленники хитроумно используют публичные облачные сервисы для шпионажа, скрывая с их помощью свои действия. Это подтверждает, что защитная стратегия предприятия должна включать в себя инструменты, которые позволят распознавать и смягчать последствия таких методов. 
 


Источник