Un grupo de amenazas persistentes avanzadas (APT) previamente indocumentado denominado Asistente de la nube Se ha observado que se dirige a entidades gubernamentales rusas aprovechando los servicios en la nube para comando y control (C2) y exfiltración de datos.
La empresa de ciberseguridad Kaspersky, que descubrió la actividad en mayo de 2024, señaló que el proceso utilizado por el actor de amenazas tenía similitudes con el de CloudWizard, pero destacó diferencias en el código fuente del malware. Los ataques utilizan un innovador programa de recopilación de datos y una serie de tácticas de evasión para cubrir sus huellas.
«Es una sofisticada herramienta de ciberespionaje utilizada para vigilancia sigilosa, recopilación y exfiltración de datos a través de la infraestructura de nube de Microsoft Graph, Yandex Cloud y Dropbox», dijo el proveedor de seguridad ruso. dicho.
“El malware aprovecha los recursos de la nube como servidores de comando y control (C2), accediendo a ellos a través de API utilizando tokens de autenticación. Además, CloudSorcerer utiliza GitHub como servidor C2 inicial. »
Actualmente se desconoce el método exacto utilizado para infiltrarse en los objetivos, pero se aprovecha el acceso inicial para colocar un binario ejecutable portátil basado en C que se utiliza como puerta trasera, iniciar comunicaciones C2 o inyectar código shell en otros procesos legítimos dependiendo del proceso en el que se encuentren. se ejecuta, es decir, mspaint.exe, msiexec.exe o contiene la cadena «navegador».
«La capacidad del malware para adaptar dinámicamente su comportamiento basándose en el proceso en el que se está ejecutando, junto con su uso de comunicación compleja entre procesos a través de canales de Windows, resalta aún más su sofisticación», señaló Kaspersky.
El componente de puerta trasera está diseñado para recopilar información sobre la máquina víctima y recuperar instrucciones para enumerar archivos y carpetas, ejecutar comandos de shell, realizar operaciones con archivos y ejecutar cargas útiles adicionales.
El módulo C2, por su parte, se conecta a una página de GitHub que actúa como solucionador de caídas muertas para recuperar una cadena hexadecimal codificada que apunta al servidor real alojado en Microsoft Graph o Yandex Cloud.
«Alternativamente, en lugar de conectarse a GitHub, CloudSorcerer también intenta obtener los mismos datos de hxxps://my.mail[.]»ru/, que es un servidor ruso de alojamiento de fotografías basado en la nube», dijo Kaspersky. «El nombre del álbum de fotos contiene la misma cadena hexadecimal».
“El malware CloudSorcerer representa un sofisticado conjunto de herramientas dirigido a entidades gubernamentales rusas. Su uso de servicios en la nube como Microsoft Graph, Yandex Cloud y Dropbox para la infraestructura C2, así como GitHub para las comunicaciones iniciales C2, demuestra un enfoque bien planificado del ciberespionaje. »
