CloudSorcererと名付けられた新たな高度持続的脅威(APT)グループが、パブリッククラウドサービスを悪用してロシア政府組織からデータを盗み出すサイバースパイ攻撃を仕掛けている。
カスペルスキーのセキュリティ研究者は、2024年5月にこのサイバースパイグループを発見しました。彼らの報告によると、CloudSorcererは、コマンド・アンド・コントロール(C2)オペレーションとデータストレージのために正規のクラウドサービスを使用するカスタムマルウェアを使用しています。
カスペルスキーは、CloudSorcererの手口はCloudWizard APTの手口と似ているが、彼らのマルウェアは別物であると指摘しており、セキュリティ研究者はこれが新たな脅威行為者であると見ている。
CloudSorcerer マルウェアの詳細
Kasperskyは、脅威行為者が最初にどのようにネットワークに侵入するかについては説明していないが、彼らはカスタムWindowsバックドアを手動で実行すると述べている。
このマルウェアは、「GetModuleFileNameA」を使用して決定される注入された場所に応じて、プロセス固有の動作をします。
mspaint.exe」内から実行された場合、バックドアとして動作し、データを収集し、コードを実行する。しかし、「msiexec.exe」内で起動された場合は、まずC2通信を開始し、実行するコマンドを受け取る。
最初の通信は、GitHubのリポジトリへのリクエストで(記事執筆時点ではアップされている)、その中に16進数文字列が含まれており、この16進数文字列によって、さらなるC2操作に使用するクラウドサービスが決定される:Microsoft Graph、Yandex Cloud、Dropboxである。
Sourceの 下にある16進文字列:
ハードコードされた動作に一致しないプロセスに対して、マルウェアはMSIexec、MSPaint、またはExplorerプロセスにシェルコードを注入し、初期プロセスを終了させます。
シェルコードはプロセス環境ブロック (PEB) を解析して Windows コア DLL オフセットを特定し、ROR14 アルゴリズムを使用して必要な Windows API を特定し、CloudSorcerer コードを標的プロセスのメモリにマッピングします。
モジュール間のデータ交換は、シームレスなプロセス間通信のために Windows パイプを介して組織化されます。
データ窃盗を実行するバックドアモジュールは、コンピューター名、ユーザー名、Windowsサブバージョン、システム稼働時間などのシステム情報を収集する。
また、C2から取得した以下のようなコマンドもサポートしている:
- ShellExecuteExW」APIを使用したシェルコマンドの実行
- ファイルのコピー、移動、名前の変更、削除
- パイプからシェルコードを受け取り、リモートプロセスでメモリを確保し、新しいスレッドを作成することで、任意のプロセスに注入する。
- PEファイルを受け取り、セクションを作成してリモートプロセスにマップする
- COM インタフェースを使ってプロセスを作成する
- 専用ユーザーとしてプロセスを作成する
- 新規サービスの作成または既存サービスの変更
- 新しいネットワーク ユーザーの追加、またはシステムからの正規ユーザーの削除
全体として、CloudSorcerer バックドアは、脅威行為者が感染したマシン上で悪意のあるアクションを実行することを可能にする強力なツールです。
カスペルスキーは、CloudSorcerer の攻撃は、マルウェアの動的な適応と秘密のデータ通信メカニズムにより、非常に洗練されたものであると評価しています。
CloudSorcerer マルウェアを検出するための Indicators of compromise (IoC) および Yara ルールは、カスペルスキーのレポートの最下部に掲載されています。
Comments