EastWind-Kampagne zielt über CloudSorcerer auf russische Regierung und IT-Organisationen ab

In einer neuen Welle von Cyberangriffen sind russische Regierungsstellen und IT-Organisationen das Ziel einer ausgeklügelten Spear-Phishing-Kampagne namens EastWind. Diese Kampagne liefert eine Reihe von Backdoors und Trojanern und greift Windows-Systeme über eine bösartige Windows-Verknüpfungsdatei (LNK) an, die in RAR-Archivanhängen versteckt ist. Wenn ahnungslose Benutzer diese Dateien öffnen, lösen sie eine komplexe Infektionssequenz aus, die letztendlich zur Bereitstellung mehrerer gefährlicher Malware-Varianten führt, darunter GrewApacha, eine aktualisierte Version der CloudSorcerer-Backdoor, und ein neu identifiziertes Implantat namens PlugY.

Der Infektionsprozess

Die EastWind-Kampagne beginnt mit einer scheinbar harmlosen LNK-Datei. Diese Datei ist jedoch alles andere als harmlos. Sie nutzt DLL-Sideloading-Techniken, um eine bösartige DLL-Datei auszuführen, wobei Dropbox als Kommunikationskanal verwendet wird. Sobald die Infektion aktiv ist, führt sie Aufklärungsarbeiten durch und lädt zusätzliche Nutzdaten herunter.

Zu der eingesetzten Malware gehört GrewApacha , eine Backdoor, die zuvor mit der mit China verbundenen APT31-Gruppe in Verbindung gebracht wurde. Diese Malware nutzt ein kompromittiertes GitHub-Profil, um eine Base64-codierte Zeichenfolge zu speichern, die als Command-and-Control-Server (C2) dient.

Eine weitere Schlüsselkomponente dieses Angriffs ist CloudSorcerer , ein hochentwickeltes Cyber-Spionage-Tool. Diese Hintertür ermöglicht verdeckte Überwachung, Datensammlung und Exfiltration, indem sie beliebte Cloud-Dienste wie Microsoft Graph, Yandex Cloud und Dropbox nutzt. Sie verwendet einen verschlüsselungsbasierten Schutzmechanismus, der sicherstellt, dass die Malware nur auf dem Computer des beabsichtigten Opfers aktiviert wird, indem ein eindeutiger Schlüssel generiert wird, der von der Windows-Funktion GetTickCount() abgeleitet wird.

Das letzte in dieser Kampagne beobachtete Schadprogramm ist PlugY , eine voll funktionsfähige Backdoor, die Shell-Befehle ausführen, den Bildschirm des Opfers überwachen, Tastatureingaben protokollieren und Inhalte aus der Zwischenablage erfassen kann. PlugY stellt über TCP, UDP oder Named Pipes eine Verbindung zu einem Verwaltungsserver her und weist Ähnlichkeiten mit einer bekannten Backdoor namens DRBControl auf, die Bedrohungsakteuren mit China-Nexus wie APT27 und APT41 zugeschrieben wird.

Schadensbegrenzung und Beseitigung

Angesichts der Komplexität der EastWind-Kampagne ist zur Eindämmung und Beseitigung dieser Bedrohungen ein mehrschichtiger Ansatz erforderlich:

1. Vermeiden Sie das Öffnen verdächtiger Dateien: Öffnen Sie keine unerwarteten oder verdächtigen Anhänge, insbesondere wenn sie in Form von RAR-Archiven oder LNK-Dateien vorliegen. Wenn Sie eine solche Datei erhalten, überprüfen Sie ihre Legitimität beim Absender, bevor Sie fortfahren.
2. Verwenden Sie erweiterte Antivirenlösungen: Setzen Sie eine aktuelle Antivirenlösung ein, die erweiterte Bedrohungen wie GrewApacha, CloudSorcerer und PlugY erkennen und entfernen kann. Führen Sie einen vollständigen Systemscan durch und entfernen Sie alle erkannten Bedrohungen.
3. Systeme aktualisieren und patchen: Stellen Sie sicher, dass Ihr Betriebssystem, Ihre Software und Ihre Sicherheitstools mit den neuesten Patches auf dem neuesten Stand sind. Dadurch werden Schwachstellen geschlossen, die von Malware wie EastWind ausgenutzt werden können.
4. Netzwerkverkehr überwachen: Überwachen Sie den Netzwerkverkehr regelmäßig auf ungewöhnliche Aktivitäten, insbesondere Verbindungen zu unbekannten C2-Servern oder Cloud-Diensten wie Dropbox, Microsoft Graph und Yandex Cloud. Verdächtiger Datenverkehr sollte untersucht und blockiert werden.
5. Isolieren Sie infizierte Systeme: Wenn eine Infektion erkannt wird, isolieren Sie das betroffene System sofort vom Netzwerk, um eine weitere Ausbreitung zu verhindern. Führen Sie eine gründliche Untersuchung durch, um alle Spuren der Malware zu identifizieren und zu entfernen.
6. Stärken Sie die E-Mail-Sicherheit: Implementieren Sie robuste E-Mail-Sicherheitsmaßnahmen, einschließlich Spamfilter, E-Mail-Authentifizierungsprotokolle und Mitarbeiterschulungen zum Erkennen von Phishing-Versuchen.

Die EastWind-Kampagne ist ein deutliches Beispiel für die sich ständig weiterentwickelnden Taktiken von Cyberkriminellen, um Abwehrmechanismen zu durchbrechen und vertrauliche Informationen zu stehlen. Indem sie wachsam bleiben und eine umfassende Sicherheitsstrategie anwenden, können sich Unternehmen vor dieser und anderen hochentwickelten Bedrohungen schützen. Sorgen Sie dafür, dass Ihre Systeme gegen diese Hintertüren und Trojaner geschützt sind, und ergreifen Sie proaktive Maßnahmen, um Anzeichen einer Infektion zu erkennen und zu beseitigen.