EastWind-kampanjen retter seg mot russiske myndigheter og IT-organisasjoner via CloudSorcerer

I en ny bølge av nettangrep blir russiske myndigheter og IT-organisasjoner målrettet av en sofistikert spyd-phishing-kampanje kjent som EastWind. Denne kampanjen leverer en serie bakdører og trojanere, som utnytter Windows-systemer gjennom en ondsinnet Windows-snarvei (LNK)-fil skjult i RAR-arkivvedlegg. Når intetanende brukere åpner disse filene, utløser de en kompleks infeksjonssekvens som til slutt fører til distribusjon av flere farlige malware-varianter, inkludert GrewApacha, en oppdatert versjon av CloudSorcerer-bakdøren, og et nylig identifisert implantat kalt PlugY.

Infeksjonsprosessen

EastWind-kampanjen begynner med en tilsynelatende harmløs LNK-fil. Denne filen er imidlertid alt annet enn godartet. Den utnytter DLL-sidelastingsteknikker for å kjøre en ondsinnet DLL-fil, ved å bruke Dropbox som en kommunikasjonskanal. Når infeksjonen er aktiv, utfører den rekognosering og laster ned ytterligere nyttelast.

Blant den utplasserte skadevare er GrewApacha , en bakdør som tidligere var knyttet til den Kina-tilknyttede APT31-gruppen. Denne skadelige programvaren bruker en kompromittert GitHub-profil for å lagre en Base64-kodet streng, som fungerer som kommando-og-kontroll-serveren (C2).

En annen nøkkelkomponent i dette angrepet er CloudSorcerer , et svært avansert cyberspionasjeverktøy. Denne bakdøren letter skjult overvåking, datainnsamling og eksfiltrering ved å utnytte populære skytjenester som Microsoft Graph, Yandex Cloud og Dropbox. Den bruker en krypteringsbasert beskyttelsesmekanisme, som sikrer at skadelig programvare bare aktiveres på den tiltenkte offerets maskin ved å generere en unik nøkkel hentet fra Windows GetTickCount()-funksjonen.

Den siste delen av skadelig programvare som er observert i denne kampanjen er PlugY , en fullt utstyrt bakdør som er i stand til å utføre skallkommandoer, overvåke offerets skjerm, logge tastetrykk og fange utklippstavleinnhold. PlugY kobler til en administrasjonsserver ved hjelp av TCP, UDP eller navngitte rør og viser likheter med en kjent bakdør kalt DRBControl, tilskrevet Kina-nexus trusselaktører som APT27 og APT41.

Redusering og fjerning

Gitt det sofistikerte i EastWind-kampanjen, krever å redusere og fjerne disse truslene en flerlags tilnærming:

1. Unngå å åpne mistenkelige filer: Ikke åpne uventede eller mistenkelige vedlegg, spesielt hvis de kommer i form av RAR-arkiver eller LNK-filer. Hvis du mottar en slik fil, må du bekrefte legitimiteten hos avsenderen før du fortsetter.
2. Bruk avanserte antivirusløsninger: Bruk en oppdatert antivirusløsning som er i stand til å oppdage og fjerne avanserte trusler som GrewApacha, CloudSorcerer og PlugY. Kjør en fullstendig systemskanning og fjern eventuelle oppdagede trusler.
3. Oppdaterings- og oppdateringssystemer: Sørg for at operativsystemet, programvaren og sikkerhetsverktøyene er oppdatert med de nyeste oppdateringene. Dette hjelper til med å lukke sårbarheter som skadevare som EastWind kan utnytte.
4. Overvåk nettverkstrafikk: Overvåk nettverkstrafikk regelmessig for uvanlig aktivitet, spesielt tilkoblinger til ukjente C2-servere eller skytjenester som Dropbox, Microsoft Graph og Yandex Cloud. Mistenkelig trafikk bør etterforskes og sperres.
5. Isoler infiserte systemer: Hvis en infeksjon oppdages, isoler umiddelbart det berørte systemet fra nettverket for å forhindre ytterligere spredning. Gjennomfør en grundig undersøkelse for å identifisere og fjerne alle spor etter skadelig programvare.
6. Styrk e-postsikkerhet: Implementer robuste e-postsikkerhetstiltak, inkludert spamfiltre, e-postautentiseringsprotokoller og opplæring av ansatte for å gjenkjenne phishing-forsøk.

EastWind-kampanjen er en sterk påminnelse om den utviklende taktikken som brukes av nettkriminelle for å bryte forsvar og stjele sensitiv informasjon. Ved å være årvåken og bruke en omfattende sikkerhetsstrategi, kan organisasjoner beskytte seg mot denne og andre avanserte trusler. Sørg for at systemene dine er forsterket mot disse bakdørene og trojanerne, og ta proaktive skritt for å oppdage og fjerne eventuelle tegn på infeksjon.