La campagna EastWind prende di mira il governo russo e le organizzazioni IT tramite CloudSorcerer

In una nuova ondata di attacchi informatici, le entità governative russe e le organizzazioni IT sono prese di mira da una sofisticata campagna di spear-phishing nota come EastWind. Questa campagna distribuisce una serie di backdoor e trojan, sfruttando i sistemi Windows tramite un file di collegamento di Windows (LNK) dannoso nascosto negli allegati dell'archivio RAR. Quando gli utenti ignari aprono questi file, innescano una complessa sequenza di infezioni che alla fine porta alla distribuzione di diverse varianti di malware pericolose, tra cui GrewApacha, una versione aggiornata della backdoor CloudSorcerer e un impianto appena identificato denominato PlugY.

Il processo di infezione

La campagna EastWind inizia con un file LNK apparentemente innocuo. Tuttavia, questo file è tutt'altro che benigno. Sfrutta tecniche di caricamento laterale DLL per eseguire un file DLL dannoso, utilizzando Dropbox come canale di comunicazione. Una volta che l'infezione è attiva, esegue una ricognizione e scarica payload aggiuntivi.

Tra i malware distribuiti c'è GrewApacha , una backdoor precedentemente associata al gruppo APT31 legato alla Cina. Questo malware utilizza un profilo GitHub compromesso per archiviare una stringa codificata in Base64, che funge da server di comando e controllo (C2).

Un altro componente chiave di questo attacco è CloudSorcerer , uno strumento di cyber spionaggio altamente avanzato. Questa backdoor facilita il monitoraggio segreto, la raccolta di dati e l'esfiltrazione sfruttando servizi cloud popolari come Microsoft Graph, Yandex Cloud e Dropbox. Utilizza un meccanismo di protezione basato sulla crittografia, assicurando che il malware si attivi solo sulla macchina della vittima designata generando una chiave univoca derivata dalla funzione GetTickCount() di Windows.

L'ultimo malware osservato in questa campagna è PlugY , una backdoor completa in grado di eseguire comandi shell, monitorare lo schermo della vittima, registrare le sequenze di tasti e catturare il contenuto degli appunti. PlugY si connette a un server di gestione tramite TCP, UDP o named pipe e mostra somiglianze con una backdoor nota chiamata DRBControl, attribuita ad attori di minacce China-nexus come APT27 e APT41.

Mitigazione e rimozione

Data la complessità della campagna EastWind, la mitigazione e la rimozione di queste minacce richiede un approccio multistrato:

1. Evita di aprire file sospetti: non aprire allegati inaspettati o sospetti, soprattutto se si presentano sotto forma di archivi RAR o file LNK. Se ricevi un file del genere, verificane la legittimità con il mittente prima di procedere.
2. Utilizza soluzioni antivirus avanzate: utilizza una soluzione antivirus aggiornata in grado di rilevare e rimuovere minacce avanzate come GrewApacha, CloudSorcerer e PlugY. Esegui una scansione completa del sistema e rimuovi tutte le minacce rilevate.
3. Aggiorna e applica patch ai sistemi: assicurati che il tuo sistema operativo, il software e gli strumenti di sicurezza siano aggiornati con le patch più recenti. Questo aiuta a chiudere le vulnerabilità che malware come EastWind possono sfruttare.
4. Monitora il traffico di rete: monitora regolarmente il traffico di rete per attività insolite, in particolare connessioni a server C2 sconosciuti o servizi cloud come Dropbox, Microsoft Graph e Yandex Cloud. Il traffico sospetto dovrebbe essere esaminato e bloccato.
5. Isolare i sistemi infetti: se viene rilevata un'infezione, isolare immediatamente il sistema interessato dalla rete per impedire un'ulteriore diffusione. Condurre un'indagine approfondita per identificare e rimuovere tutte le tracce del malware.
6. Rafforzare la sicurezza della posta elettronica: implementare misure di sicurezza efficaci per la posta elettronica, tra cui filtri antispam, protocolli di autenticazione della posta elettronica e formazione dei dipendenti per riconoscere i tentativi di phishing.

La campagna EastWind è un duro promemoria delle tattiche in evoluzione utilizzate dai criminali informatici per violare le difese e rubare informazioni sensibili. Restando vigili e impiegando una strategia di sicurezza completa, le organizzazioni possono proteggersi da questa e altre minacce avanzate. Assicuratevi che i vostri sistemi siano fortificati contro queste backdoor e trojan e adottate misure proattive per rilevare e rimuovere qualsiasi segno di infezione.