Az EastWind kampány az orosz kormányt és IT-szervezeteket célozza meg a CloudSorcereren keresztül

A kibertámadások új hullámában az orosz kormányzati szervek és informatikai szervezetek az EastWind néven ismert kifinomult adathalász kampány célpontjai. Ez a kampány egy sor hátsó ajtót és trójai programot kínál, amelyek kihasználják a Windows rendszereket egy rosszindulatú Windows parancsikon (LNK) fájlon keresztül, amely RAR archív mellékletekben rejtőzik. Amikor a gyanútlan felhasználók megnyitják ezeket a fájlokat, bonyolult fertőzési szekvenciát indítanak el, amely végül számos veszélyes malware-változat telepítéséhez vezet, beleértve a GrewApacha-t, a CloudSorcerer hátsóajtó frissített verzióját és az újonnan azonosított PlugY implantátumot.

A fertőzés folyamata

Az EastWind kampány egy ártalmatlannak tűnő LNK fájllal kezdődik. Ez a fájl azonban nem jóindulatú. DLL oldalsó betöltési technikákat alkalmaz egy rosszindulatú DLL-fájl végrehajtásához, a Dropboxot kommunikációs csatornaként használva. Amint a fertőzés aktív, felderítést végez, és további hasznos terheket tölt le.

A telepített rosszindulatú programok között szerepel a GrewApacha , a korábban a Kínához kötődő APT31 csoporthoz kapcsolódó hátsó ajtó. Ez a rosszindulatú program egy feltört GitHub-profilt használ egy Base64-kódolású karakterlánc tárolására, amely parancs- és vezérlőszerverként (C2) szolgál.

A támadás másik kulcsfontosságú összetevője a CloudSorcerer , egy rendkívül fejlett kiberkémkedési eszköz. Ez a hátsó ajtó a népszerű felhőszolgáltatások, például a Microsoft Graph, a Yandex Cloud és a Dropbox kihasználásával megkönnyíti a titkos megfigyelést, adatgyűjtést és kiszűrést. Titkosításon alapuló védelmi mechanizmust alkalmaz, amely a Windows GetTickCount() függvényéből származó egyedi kulcs generálásával biztosítja, hogy a kártevő csak az áldozat gépén aktiválódjon.

A kampányban megfigyelt utolsó rosszindulatú program a PlugY , egy teljes értékű hátsó ajtó, amely shell-parancsok végrehajtására, az áldozat képernyőjének figyelésére, a billentyűleütések naplózására és a vágólap tartalmának rögzítésére képes. A PlugY TCP, UDP vagy elnevezett csövek használatával csatlakozik egy felügyeleti kiszolgálóhoz, és hasonlóságokat mutat a DRBControl nevű ismert hátsó ajtóval, amelyet a China-nexus fenyegetés szereplőinek, például az APT27-nek és az APT41-nek tulajdonítanak.

Enyhítés és eltávolítás

Tekintettel az EastWind kampány kifinomultságára, ezeknek a fenyegetéseknek a mérséklése és eltávolítása többrétegű megközelítést igényel:

1. Kerülje a gyanús fájlok megnyitását: Ne nyissa meg a váratlan vagy gyanús mellékleteket, különösen, ha azok RAR-archívumok vagy LNK-fájlok formájában érkeznek. Ha ilyen fájlt kap, a továbblépés előtt ellenőrizze annak legitimitását a feladóval.
2. Használjon speciális víruskereső megoldásokat: Használjon frissített víruskereső megoldást, amely képes észlelni és eltávolítani a fejlett fenyegetéseket, mint például a GrewApacha, a CloudSorcerer és a PlugY. Futtasson le egy teljes rendszervizsgálatot, és távolítsa el az észlelt fenyegetéseket.
3. Frissítési és javítási rendszerek: Győződjön meg arról, hogy operációs rendszere, szoftvere és biztonsági eszközei naprakészek a legújabb javításokkal. Ez segít bezárni azokat a sebezhetőségeket, amelyeket a rosszindulatú programok, például az EastWind kihasználhatnak.
4. Hálózati forgalom figyelése: Rendszeresen figyelje a hálózati forgalmat szokatlan tevékenységeket keresve, különösen az ismeretlen C2-szerverekhez vagy felhőszolgáltatásokhoz, például a Dropboxhoz, a Microsoft Graphhoz és a Yandex Cloudhoz való csatlakozásokat. A gyanús forgalmat ki kell vizsgálni és le kell tiltani.
5. Fertőzött rendszerek elkülönítése: Ha fertőzést észlel, azonnal izolálja az érintett rendszert a hálózatról, hogy megakadályozza a további terjedést. Végezzen alapos vizsgálatot a rosszindulatú program minden nyomának azonosítása és eltávolítása érdekében.
6. Erősítse meg az e-mail biztonságot: Határozott e-mail biztonsági intézkedéseket kell bevezetni, beleértve a spamszűrőket, az e-mail hitelesítési protokollokat és az alkalmazottak képzését az adathalász kísérletek felismerésére.

Az EastWind kampány éles emlékeztető a kiberbűnözők által a védelem megsértésére és érzékeny információk ellopására használt taktikák fejlődésére. Éber éberséggel és átfogó biztonsági stratégia alkalmazásával a szervezetek megvédhetik magukat ettől és más fejlett fenyegetésektől. Győződjön meg arról, hogy rendszerei meg vannak védve ezekkel a hátsó ajtókkal és trójaikkal szemben, és tegyen proaktív lépéseket a fertőzés jeleinek észlelésére és eltávolítására.