Kampania EastWind skierowana do rosyjskiego rządu i organizacji IT za pośrednictwem CloudSorcerer

W nowej fali cyberataków rosyjskie podmioty rządowe i organizacje IT są celem wyrafinowanej kampanii spear-phishing znanej jako EastWind. Ta kampania dostarcza serię tylnych drzwi i trojanów, wykorzystując systemy Windows za pośrednictwem złośliwego pliku skrótu Windows (LNK) ukrytego w załącznikach archiwum RAR. Gdy niczego niepodejrzewający użytkownicy otwierają te pliki, uruchamiają one złożoną sekwencję infekcji, która ostatecznie prowadzi do wdrożenia kilku niebezpiecznych wariantów złośliwego oprogramowania, w tym GrewApacha, zaktualizowanej wersji tylnego wejścia CloudSorcerer i nowo zidentyfikowanego implantu o nazwie PlugY.

Proces infekcji

Kampania EastWind zaczyna się od pozornie nieszkodliwego pliku LNK. Jednak ten plik jest wszystkim, tylko nie nieszkodliwy. Wykorzystuje techniki bocznego ładowania DLL, aby wykonać złośliwy plik DLL, używając Dropbox jako kanału komunikacyjnego. Gdy infekcja jest aktywna, przeprowadza rozpoznanie i pobiera dodatkowe ładunki.

Wśród wdrożonego złośliwego oprogramowania znajduje się GrewApacha , backdoor wcześniej powiązany z grupą APT31 powiązaną z Chinami. To złośliwe oprogramowanie wykorzystuje skompromitowany profil GitHub do przechowywania zakodowanego w Base64 ciągu, który służy jako serwer poleceń i kontroli (C2).

Innym kluczowym elementem tego ataku jest CloudSorcerer , wysoce zaawansowane narzędzie cybernetycznego szpiegostwa. To tylne wejście ułatwia tajne monitorowanie, zbieranie danych i eksfiltrację, wykorzystując popularne usługi w chmurze, takie jak Microsoft Graph, Yandex Cloud i Dropbox. Wykorzystuje mechanizm ochrony oparty na szyfrowaniu, zapewniając, że złośliwe oprogramowanie aktywuje się tylko na komputerze docelowej ofiary, generując unikalny klucz pochodzący z funkcji Windows GetTickCount().

Ostatnim złośliwym oprogramowaniem zaobserwowanym w tej kampanii jest PlugY , w pełni funkcjonalny backdoor zdolny do wykonywania poleceń powłoki, monitorowania ekranu ofiary, rejestrowania naciśnięć klawiszy i przechwytywania zawartości schowka. PlugY łączy się z serwerem zarządzającym za pomocą TCP, UDP lub nazwanych potoków i wykazuje podobieństwa do znanego backdoora o nazwie DRBControl, przypisywanego aktorom zagrożeń China-nexus, takim jak APT27 i APT41.

Łagodzenie i usuwanie

Biorąc pod uwagę złożoność kampanii EastWind, łagodzenie i usuwanie tych zagrożeń wymaga wielowarstwowego podejścia:

1. Unikaj otwierania podejrzanych plików: Nie otwieraj nieoczekiwanych lub podejrzanych załączników, zwłaszcza jeśli mają formę archiwów RAR lub plików LNK. Jeśli otrzymasz taki plik, przed kontynuowaniem sprawdź jego autentyczność u nadawcy.
2. Użyj zaawansowanych rozwiązań antywirusowych: Zastosuj zaktualizowane rozwiązanie antywirusowe, które jest w stanie wykryć i usunąć zaawansowane zagrożenia, takie jak GrewApacha, CloudSorcerer i PlugY. Uruchom pełne skanowanie systemu i usuń wszelkie wykryte zagrożenia.
3. Aktualizuj i popraw systemy: Upewnij się, że Twój system operacyjny, oprogramowanie i narzędzia bezpieczeństwa są aktualne i mają najnowsze poprawki. Pomaga to zamknąć luki, które może wykorzystać złośliwe oprogramowanie, takie jak EastWind.
4. Monitoruj ruch sieciowy: Regularnie monitoruj ruch sieciowy pod kątem nietypowej aktywności, zwłaszcza połączeń z nieznanymi serwerami C2 lub usługami w chmurze, takimi jak Dropbox, Microsoft Graph i Yandex Cloud. Podejrzany ruch powinien zostać zbadany i zablokowany.
5. Izoluj zainfekowane systemy: Jeśli wykryto infekcję, natychmiast odizoluj zainfekowany system od sieci, aby zapobiec dalszemu rozprzestrzenianiu się. Przeprowadź dokładne dochodzenie, aby zidentyfikować i usunąć wszystkie ślady złośliwego oprogramowania.
6. Wzmocnij bezpieczeństwo poczty elektronicznej: Wdróż solidne środki bezpieczeństwa poczty elektronicznej, w tym filtry antyspamowe, protokoły uwierzytelniania poczty elektronicznej oraz przeszkol pracowników w zakresie rozpoznawania prób phishingu.

Kampania EastWind jest jaskrawym przypomnieniem ewoluujących taktyk stosowanych przez cyberprzestępców w celu łamania zabezpieczeń i kradzieży poufnych informacji. Pozostając czujnym i stosując kompleksową strategię bezpieczeństwa, organizacje mogą chronić się przed tym i innymi zaawansowanymi zagrożeniami. Upewnij się, że Twoje systemy są wzmocnione przed tymi tylnymi drzwiami i trojanami, i podejmij proaktywne kroki w celu wykrycia i usunięcia wszelkich oznak infekcji.