Η καμπάνια EastWind στοχεύει ρωσική κυβέρνηση και οργανισμούς πληροφορικής μέσω του CloudSorcerer

Σε ένα νέο κύμα κυβερνοεπιθέσεων, ρωσικές κυβερνητικές οντότητες και οργανισμοί πληροφορικής γίνονται στόχος μιας εξελιγμένης εκστρατείας spear-phishing, γνωστής ως EastWind. Αυτή η καμπάνια παρέχει μια σειρά από backdoors και trojans, που εκμεταλλεύονται συστήματα Windows μέσω ενός κακόβουλου αρχείου συντόμευσης των Windows (LNK) που είναι κρυμμένο σε συνημμένα αρχείου RAR. Όταν ανυποψίαστοι χρήστες ανοίγουν αυτά τα αρχεία, ενεργοποιούν μια σύνθετη αλληλουχία μόλυνσης που τελικά οδηγεί στην ανάπτυξη πολλών επικίνδυνων παραλλαγών κακόβουλου λογισμικού, συμπεριλαμβανομένου του GrewApacha, μιας ενημερωμένης έκδοσης του backdoor του CloudSorcerer και ενός εμφυτεύματος που προσδιορίστηκε πρόσφατα με το όνομα PlugY.

Η διαδικασία της μόλυνσης

Η εκστρατεία EastWind ξεκινά με ένα φαινομενικά ακίνδυνο αρχείο LNK. Ωστόσο, αυτό το αρχείο κάθε άλλο παρά καλοήθης είναι. Αξιοποιεί τεχνικές πλευρικής φόρτωσης DLL για την εκτέλεση ενός κακόβουλου αρχείου DLL, χρησιμοποιώντας το Dropbox ως κανάλι επικοινωνίας. Μόλις ενεργοποιηθεί η μόλυνση, πραγματοποιεί αναγνώριση και κατεβάζει επιπλέον ωφέλιμα φορτία.

Μεταξύ του αναπτυσσόμενου κακόβουλου λογισμικού είναι το GrewApacha , μια κερκόπορτα που συνδέθηκε προηγουμένως με την ομάδα APT31 που συνδέεται με την Κίνα. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί ένα παραβιασμένο προφίλ GitHub για την αποθήκευση μιας συμβολοσειράς με κωδικοποίηση Base64, η οποία χρησιμεύει ως διακομιστής εντολών και ελέγχου (C2).

Ένα άλλο βασικό στοιχείο αυτής της επίθεσης είναι το CloudSorcerer , ένα εξαιρετικά προηγμένο εργαλείο κατασκοπείας στον κυβερνοχώρο. Αυτή η κερκόπορτα διευκολύνει την κρυφή παρακολούθηση, τη συλλογή δεδομένων και τη διείσδυση αξιοποιώντας δημοφιλείς υπηρεσίες cloud όπως το Microsoft Graph, το Yandex Cloud και το Dropbox. Χρησιμοποιεί έναν μηχανισμό προστασίας που βασίζεται στην κρυπτογράφηση, διασφαλίζοντας ότι το κακόβουλο λογισμικό ενεργοποιείται μόνο στον υπολογιστή του θύματος που προορίζεται, δημιουργώντας ένα μοναδικό κλειδί που προέρχεται από τη συνάρτηση GetTickCount() των Windows.

Το τελευταίο κομμάτι κακόβουλου λογισμικού που παρατηρείται σε αυτήν την καμπάνια είναι το PlugY , μια κερκόπορτα με πλήρεις δυνατότητες, ικανή να εκτελεί εντολές φλοιού, να παρακολουθεί την οθόνη του θύματος, να καταγράφει πατήματα πλήκτρων και να καταγράφει περιεχόμενο του προχείρου. Το PlugY συνδέεται με έναν διακομιστή διαχείρισης χρησιμοποιώντας TCP, UDP ή επώνυμους σωλήνες και παρουσιάζει ομοιότητες με μια γνωστή κερκόπορτα που ονομάζεται DRBControl, που αποδίδεται σε παράγοντες απειλών China-nexus όπως οι APT27 και APT41.

Μετριασμός και Απομάκρυνση

Δεδομένης της πολυπλοκότητας της εκστρατείας EastWind, ο μετριασμός και η εξάλειψη αυτών των απειλών απαιτεί μια πολυεπίπεδη προσέγγιση:

1. Αποφύγετε το άνοιγμα ύποπτων αρχείων: Μην ανοίγετε απροσδόκητα ή ύποπτα συνημμένα, ειδικά εάν έχουν τη μορφή αρχείων RAR ή αρχείων LNK. Εάν λάβετε ένα τέτοιο αρχείο, επαληθεύστε τη νομιμότητά του με τον αποστολέα πριν προχωρήσετε.
2. Χρησιμοποιήστε προηγμένες λύσεις προστασίας από ιούς: Χρησιμοποιήστε μια ενημερωμένη λύση προστασίας από ιούς ικανή να ανιχνεύει και να αφαιρεί προηγμένες απειλές όπως το GrewApacha, το CloudSorcerer και το PlugY. Εκτελέστε μια πλήρη σάρωση συστήματος και αφαιρέστε τυχόν απειλές που εντοπίστηκαν.
3. Συστήματα ενημέρωσης και ενημέρωσης κώδικα: Βεβαιωθείτε ότι το λειτουργικό σας σύστημα, το λογισμικό και τα εργαλεία ασφαλείας είναι ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα. Αυτό βοηθάει στο κλείσιμο των τρωτών σημείων που μπορεί να εκμεταλλευτεί κακόβουλο λογισμικό όπως το EastWind.
4. Παρακολούθηση επισκεψιμότητας δικτύου: Παρακολουθήστε τακτικά την κυκλοφορία δικτύου για ασυνήθιστη δραστηριότητα, ειδικά συνδέσεις με άγνωστους διακομιστές C2 ή υπηρεσίες cloud όπως το Dropbox, το Microsoft Graph και το Yandex Cloud. Η ύποπτη κυκλοφορία θα πρέπει να διερευνηθεί και να αποκλειστεί.
5. Απομόνωση μολυσμένων συστημάτων: Εάν εντοπιστεί μόλυνση, απομονώστε αμέσως το προσβεβλημένο σύστημα από το δίκτυο για να αποτρέψετε περαιτέρω εξάπλωση. Πραγματοποιήστε μια ενδελεχή έρευνα για να εντοπίσετε και να αφαιρέσετε όλα τα ίχνη του κακόβουλου λογισμικού.
6. Ενίσχυση της ασφάλειας email: Εφαρμόστε ισχυρά μέτρα ασφαλείας email, συμπεριλαμβανομένων των φίλτρων ανεπιθύμητης αλληλογραφίας, των πρωτοκόλλων ελέγχου ταυτότητας email και της εκπαίδευσης των εργαζομένων για την αναγνώριση προσπαθειών phishing.

Η εκστρατεία EastWind είναι μια έντονη υπενθύμιση των εξελισσόμενων τακτικών που χρησιμοποιούνται από τους εγκληματίες του κυβερνοχώρου για την παραβίαση της άμυνας και την κλοπή ευαίσθητων πληροφοριών. Παραμένοντας σε εγρήγορση και εφαρμόζοντας μια ολοκληρωμένη στρατηγική ασφάλειας, οι οργανισμοί μπορούν να προστατευτούν από αυτήν και άλλες προηγμένες απειλές. Βεβαιωθείτε ότι τα συστήματά σας είναι ενισχυμένα έναντι αυτών των backdoors και trojans και λάβετε προληπτικά μέτρα για να εντοπίσετε και να αφαιρέσετε τυχόν σημάδια μόλυνσης.