Un nuevo actor de ciberespionaje se dirige a organizaciones gubernamentales de la Federación Rusa con un sofisticado malware que puede adaptar su comportamiento en función de su entorno de ejecución.
El grupo de amenazas persistentes avanzadas (APT), que los investigadores de Kaspersky denominan “CloudSorcerer”, tiene un estilo operativo similar al utilizado por “CloudWizard”, otra APT que el proveedor de seguridad detectó el año pasado y que también apunta a entidades rusas.
Esconderse en la nube
Al igual que CloudWizard, el nuevo grupo de ciberdelincuentes aprovecha excesivamente los servicios de nube pública para comando y control (C2) y otros objetivos. También parece apuntar a los mismos objetivos. Pero el malware homónimo de CloudSorcerer es completamente diferente del de CloudWizard, lo que hace más que probable que el primero sea un nuevo actor de ciberespionaje que simplemente utiliza las mismas tácticas que el segundo, Kaspersky. dijo en un informe esta semana.
«Aunque hay similitudes en modo operatorio En CloudWizard informó anteriormente «APT, las diferencias significativas en el código y la funcionalidad sugieren que CloudSorcerer es probablemente un nuevo jugador, tal vez inspirado en técnicas anteriores pero que está desarrollando sus propias herramientas únicas», dijo Kaspersky.
La principal herramienta antimalware de CloudSorcerer puede realizar múltiples funciones, incluido el monitoreo encubierto y la recopilación de datos en sistemas comprometidos, así como la filtración de datos utilizando servicios legítimos en la nube como Microsoft Graph API, Dropbox y Yandex Cloud. CloudSorcerer también utiliza servicios en la nube para alojar sus servidores de comando y control, a los que luego accede el malware a través de interfaces de programación de aplicaciones (API).
CloudSorcerer: malware furtivo
Los piratas informáticos distribuyeron CloudSorcerer como un único archivo ejecutable que, sin embargo, puede funcionar como dos módulos separados (un módulo de recopilación de datos y un módulo de comunicaciones) dependiendo del contenido de la ejecución. El objetivo de esta distribución de malware es facilitar su implementación y su ocultación.
«El atacante ejecuta manualmente el malware en una máquina ya infectada», explica Kaspersky. «Inicialmente es un binario ejecutable portátil (PE) escrito en C».
Su funcionalidad varía dependiendo del proceso en el que se ejecute. Cuando se ejecuta, el malware llama a la función GetModuleFileNameA para comprobar en qué proceso se está ejecutando. Si el proceso es mspaint.exe, el malware funciona como una puerta trasera y recopila varias funciones maliciosas, incluida la ejecución de código y la recopilación de datos.
Los datos recopilados por CloudSorcerer incluyen el nombre de la computadora, el nombre de usuario, la información de la versión de Windows y el tiempo de actividad del sistema. Luego, el malware envía los datos al servidor C2. Dependiendo de la respuesta del servidor C2, la puerta trasera ejecuta uno de varios comandos, incluidos aquellos que le indican que recopile información de los discos duros del sistema, recopile datos de archivos y carpetas, ejecute comandos de shell y cree y escriba datos en cualquier archivo. en el sistema comprometido.
La funcionalidad de puerta trasera del malware también incluye la capacidad de crear procesos para ejecutar archivos binarios maliciosos, crear procesos como un usuario dedicado, obtener y detener tareas, crear y modificar servicios, eliminar valores de los registros de Windows y modificar claves de registro. Cuando CloudSorcerer se ejecuta por primera vez, se comunica con un servidor C2 inicial en GitHub, que en realidad es una página web con instrucciones sobre la siguiente secuencia de pasos que debe seguir el malware, dijo Kaspersky.
Preste atención al tráfico saliente
La práctica de los atacantes de aprovechar los servicios de nube pública para alojar la infraestructura C2, y distribuir malware y otros componentes de una cadena de ataque no es nuevo. Servicios como API de gráficos de Microsoft Y GitHub Los servicios de seguridad se han vuelto particularmente populares entre los actores maliciosos que buscan evadir los mecanismos de defensa de las empresas mediante malware y actividad maliciosa. Aun así, la creciente sofisticación de los ataques que explotan estos servicios representa un desafío para las organizaciones.
«El malware CloudSorcerer representa un conjunto de herramientas sofisticado dirigido a entidades gubernamentales rusas», señaló Kaspersky. “Su uso de servicios en la nube como Microsoft Graph, Yandex Cloud y Dropbox para la infraestructura C2, así como GitHub para las comunicaciones iniciales C2, demuestra un enfoque bien planificado hacia el ciberespionaje. El desafío es aún mayor debido a la capacidad de CloudSorcerer para adaptar dinámicamente su comportamiento según el contexto del proceso, señaló Kaspersky.
Erich Kron, defensor de la concientización sobre la seguridad en KnowBe4, dijo que la nueva campaña muestra por qué las organizaciones no pueden simplemente monitorear lo que ingresa a la red.
«Si bien la comunicación inicial C2 que comienza con GitHub no es inusual, también sirve como una lección sobre la importancia de limitar el tráfico que sale de las redes», dijo en un comentario enviado por correo electrónico. “Si la mayoría de las personas dentro de una organización no necesitan acceso a un sitio web comúnmente utilizado para ordenar y controlar el tráfico como este, tiene sentido bloquear este tráfico. »