„EastWind“ kampanija skirta Rusijos vyriausybei ir IT organizacijoms per „CloudSorcerer“.

Naujoje kibernetinių atakų bangoje Rusijos vyriausybės subjektai ir IT organizacijos atsiduria sudėtingos sukčiavimo kampanijos, vadinamos EastWind, taikiniu. Ši kampanija pateikia daugybę užpakalinių durų ir Trojos arklių, išnaudojančių „Windows“ sistemas per kenkėjišką „Windows“ nuorodos (LNK) failą, paslėptą RAR archyvo prieduose. Kai nieko neįtariantys vartotojai atidaro šiuos failus, jie suaktyvina sudėtingą užkrėtimo seką, dėl kurios galiausiai įdiegiami keli pavojingų kenkėjiškų programų variantai, įskaitant GrewApacha, atnaujintą CloudSorcerer galinių durų versiją ir naujai identifikuotą implantą, pavadintą PlugY.

Infekcijos procesas

„EastWind“ kampanija prasideda iš pažiūros nekenksmingu LNK failu. Tačiau šis failas nėra nieko gero. Jis naudoja DLL šoninio įkėlimo metodus, kad paleistų kenkėjišką DLL failą, naudojant Dropbox kaip ryšio kanalą. Kai infekcija yra aktyvi, ji atlieka žvalgybą ir atsisiunčia papildomus naudingus krovinius.

Tarp įdiegtų kenkėjiškų programų yra „GrewApacha “ – užpakalinės durys, anksčiau susijusios su su Kinija susijusia APT31 grupe. Ši kenkėjiška programa naudoja pažeistą „GitHub“ profilį, kad saugotų „Base64“ koduotą eilutę, kuri naudojama kaip komandų ir valdymo (C2) serveris.

Kitas svarbus šios atakos komponentas yra „CloudSorcerer“ – labai pažangus kibernetinio šnipinėjimo įrankis. Šios užpakalinės durys palengvina slaptą stebėjimą, duomenų rinkimą ir išfiltravimą, nes naudojamos populiarios debesies paslaugos, tokios kaip „Microsoft Graph“, „Yandex Cloud“ ir „Dropbox“. Jame naudojamas šifravimu pagrįstas apsaugos mechanizmas, užtikrinantis, kad kenkėjiška programa suaktyvėtų tik numatytos aukos kompiuteryje generuojant unikalų raktą, gautą iš Windows GetTickCount() funkcijos.

Paskutinė šioje kampanijoje pastebėta kenkėjiškų programų dalis yra PlugY , pilnai aprūpintas užpakalinės durys, galinčios vykdyti apvalkalo komandas, stebėti aukos ekraną, registruoti klavišų paspaudimus ir užfiksuoti iškarpinės turinį. „PlugY“ prisijungia prie valdymo serverio, naudodamas TCP, UDP arba pavadintus vamzdžius, ir turi panašumų su žinomomis užpakalinėmis durimis, vadinamomis DRBControl, priskiriamomis Kinijos ryšio grėsmės veikėjams, pvz., APT27 ir APT41.

Sušvelninimas ir pašalinimas

Atsižvelgiant į EastWind kampanijos sudėtingumą, norint sušvelninti ir pašalinti šias grėsmes reikia daugiasluoksnio požiūrio:

1. Venkite atidaryti įtartinų failų: neatidarykite netikėtų ar įtartinų priedų, ypač jei jie yra RAR archyvų arba LNK failų pavidalu. Jei gaunate tokį failą, prieš tęsdami patikrinkite jo teisėtumą su siuntėju.
2. Naudokite pažangius antivirusinius sprendimus: naudokite atnaujintą antivirusinį sprendimą, galintį aptikti ir pašalinti pažangias grėsmes, tokias kaip GrewApacha, CloudSorcerer ir PlugY. Atlikite visą sistemos nuskaitymą ir pašalinkite visas aptiktas grėsmes.
3. Atnaujinimo ir pataisų sistemos: įsitikinkite, kad jūsų operacinė sistema, programinė įranga ir saugos įrankiai yra atnaujinami su naujausiais pataisymais. Tai padeda pašalinti pažeidžiamumą, kurį gali išnaudoti kenkėjiškos programos, pvz., EastWind.
4. Stebėkite tinklo srautą: reguliariai stebėkite tinklo srautą dėl neįprastos veiklos, ypač jungčių su nežinomais C2 serveriais arba debesies paslaugomis, tokiomis kaip „Dropbox“, „Microsoft Graph“ ir „Yandex Cloud“. Įtartinas eismas turėtų būti ištirtas ir užblokuotas.
5. Užkrėstų sistemų izoliavimas: jei aptinkama infekcija, nedelsdami izoliuokite paveiktą sistemą nuo tinklo, kad išvengtumėte tolesnio plitimo. Atlikite išsamų tyrimą, kad nustatytumėte ir pašalintumėte visus kenkėjiškos programos pėdsakus.
6. El. pašto saugumo stiprinimas: įgyvendinkite patikimas el. pašto saugos priemones, įskaitant šiukšlių filtrus, el. pašto autentifikavimo protokolus ir darbuotojų mokymus, kad atpažintumėte sukčiavimo bandymus.

„EastWind“ kampanija yra ryškus priminimas apie besikeičiančią taktiką, kurią naudoja kibernetiniai nusikaltėliai, siekdami pažeisti gynybą ir pavogti neskelbtiną informaciją. Išlikdamos budrios ir taikydamos visapusę saugumo strategiją, organizacijos gali apsisaugoti nuo šios ir kitų pažangių grėsmių. Įsitikinkite, kad jūsų sistemos yra apsaugotos nuo šių užpakalinių durų ir Trojos arklių, ir imkitės aktyvių veiksmų, kad aptiktumėte ir pašalintumėte bet kokius infekcijos požymius.