EastWind-kampagnen er rettet mod russisk regering og it-organisationer via CloudSorcerer

I en ny bølge af cyberangreb bliver russiske regeringsenheder og it-organisationer ramt af en sofistikeret spyd-phishing-kampagne kendt som EastWind. Denne kampagne leverer en række bagdøre og trojanske heste, der udnytter Windows-systemer gennem en ondsindet Windows-genvejsfil (LNK) skjult i RAR-arkivvedhæftede filer. Når intetanende brugere åbner disse filer, udløser de en kompleks infektionssekvens, der i sidste ende fører til udrulning af flere farlige malware-varianter, inklusive GrewApacha, en opdateret version af CloudSorcerer-bagdøren og et nyligt identificeret implantat ved navn PlugY.

Infektionsprocessen

EastWind-kampagnen begynder med en tilsyneladende harmløs LNK-fil. Denne fil er dog alt andet end godartet. Det udnytter DLL-sideindlæsningsteknikker til at udføre en ondsindet DLL-fil ved at bruge Dropbox som en kommunikationskanal. Når infektionen er aktiv, udfører den rekognoscering og downloader yderligere nyttelast.

Blandt de installerede malware er GrewApacha , en bagdør, der tidligere var forbundet med den Kina-tilknyttede APT31-gruppe. Denne malware bruger en kompromitteret GitHub-profil til at gemme en Base64-kodet streng, som fungerer som kommando-og-kontrol-serveren (C2).

En anden nøglekomponent i dette angreb er CloudSorcerer , et meget avanceret cyberspionageværktøj. Denne bagdør letter skjult overvågning, dataindsamling og eksfiltrering ved at udnytte populære cloud-tjenester som Microsoft Graph, Yandex Cloud og Dropbox. Den anvender en krypteringsbaseret beskyttelsesmekanisme, der sikrer, at malwaren kun aktiveres på det tiltænkte offers maskine ved at generere en unik nøgle afledt af Windows GetTickCount()-funktionen.

Det sidste stykke malware, der er observeret i denne kampagne, er PlugY , en fuldt udstyret bagdør, der er i stand til at udføre shell-kommandoer, overvåge ofrets skærm, logge tastetryk og fange udklipsholderindhold. PlugY opretter forbindelse til en administrationsserver ved hjælp af TCP, UDP eller navngivne rør og udviser ligheder med en kendt bagdør kaldet DRBControl, der tilskrives Kina-nexus-trusselsaktører som APT27 og APT41.

Afhjælpning og fjernelse

I betragtning af EastWind-kampagnens sofistikerede kampagne kræver afbødning og fjernelse af disse trusler en flerlagstilgang:

1. Undgå at åbne mistænkelige filer: Åbn ikke uventede eller mistænkelige vedhæftede filer, især hvis de kommer i form af RAR-arkiver eller LNK-filer. Hvis du modtager en sådan fil, skal du bekræfte dens legitimitet hos afsenderen, før du fortsætter.
2. Brug avancerede antivirusløsninger: Anvend en opdateret antivirusløsning, der er i stand til at opdage og fjerne avancerede trusler som GrewApacha, CloudSorcerer og PlugY. Kør en komplet systemscanning, og fjern eventuelle opdagede trusler.
3. Opdaterings- og patchsystemer: Sørg for, at dit operativsystem, software og sikkerhedsværktøjer er opdateret med de nyeste patches. Dette hjælper med at lukke sårbarheder, som malware som EastWind kan udnytte.
4. Overvåg netværkstrafik: Overvåg regelmæssigt netværkstrafik for usædvanlig aktivitet, især forbindelser til ukendte C2-servere eller cloud-tjenester som Dropbox, Microsoft Graph og Yandex Cloud. Mistænkelig trafik bør undersøges og blokeres.
5. Isoler inficerede systemer: Hvis en infektion opdages, skal du straks isolere det berørte system fra netværket for at forhindre yderligere spredning. Foretag en grundig undersøgelse for at identificere og fjerne alle spor af malwaren.
6. Styrk e-mail-sikkerhed: Implementer robuste e-mail-sikkerhedsforanstaltninger, herunder spamfiltre, e-mail-godkendelsesprotokoller og medarbejderuddannelse for at genkende phishing-forsøg.

EastWind-kampagnen er en skarp påmindelse om den udviklende taktik, der bruges af cyberkriminelle til at bryde forsvar og stjæle følsomme oplysninger. Ved at forblive på vagt og anvende en omfattende sikkerhedsstrategi kan organisationer beskytte sig selv mod denne og andre avancerede trusler. Sørg for, at dine systemer er befæstet mod disse bagdøre og trojanske heste, og tag proaktive skridt til at opdage og fjerne eventuelle tegn på infektion.