Кампания EastWind нацелена на российское правительство и ИТ-организации через CloudSorcerer

В новой волне кибератак российские государственные учреждения и ИТ-организации подвергаются сложной фишинговой кампании, известной как EastWind. Эта кампания распространяет серию бэкдоров и троянов, эксплуатирующих системы Windows через вредоносный файл ярлыка Windows (LNK), скрытый во вложениях архивов RAR. Когда ничего не подозревающие пользователи открывают эти файлы, они запускают сложную последовательность заражения, которая в конечном итоге приводит к развертыванию нескольких опасных вариантов вредоносного ПО, включая GrewApacha, обновленную версию бэкдора CloudSorcerer и недавно идентифицированный имплант под названием PlugY.

Процесс заражения

Кампания EastWind начинается с, казалось бы, безобидного файла LNK. Однако этот файл совсем не безобиден. Он использует методы боковой загрузки DLL для выполнения вредоносного файла DLL, используя Dropbox в качестве канала связи. После того, как заражение активизируется, оно проводит разведку и загружает дополнительные полезные нагрузки.

Среди развернутых вредоносных программ есть GrewApacha , бэкдор, ранее связанный с группой APT31, связанной с Китаем. Эта вредоносная программа использует скомпрометированный профиль GitHub для хранения строки в кодировке Base64, которая служит сервером управления и контроля (C2).

Другим ключевым компонентом этой атаки является CloudSorcerer , высокоразвитый инструмент кибершпионажа. Этот бэкдор облегчает скрытый мониторинг, сбор данных и эксфильтрацию, используя популярные облачные сервисы, такие как Microsoft Graph, Yandex Cloud и Dropbox. Он использует механизм защиты на основе шифрования, гарантируя, что вредоносное ПО активируется только на компьютере предполагаемой жертвы, генерируя уникальный ключ, полученный из функции Windows GetTickCount().

Последняя вредоносная программа, обнаруженная в этой кампании, — это PlugY , полнофункциональный бэкдор, способный выполнять команды оболочки, следить за экраном жертвы, регистрировать нажатия клавиш и захватывать содержимое буфера обмена. PlugY подключается к серверу управления с помощью TCP, UDP или именованных каналов и демонстрирует сходство с известным бэкдором под названием DRBControl, приписываемым таким китайским группировкам, как APT27 и APT41.

Смягчение и устранение

Учитывая сложность кампании EastWind, для смягчения и устранения этих угроз требуется многоуровневый подход:

1. Избегайте открытия подозрительных файлов: не открывайте неожиданные или подозрительные вложения, особенно если они приходят в виде архивов RAR или файлов LNK. Если вы получили такой файл, проверьте его легитимность у отправителя, прежде чем продолжить.
2. Используйте расширенные антивирусные решения: используйте обновленное антивирусное решение, способное обнаруживать и удалять такие сложные угрозы, как GrewApacha, CloudSorcerer и PlugY. Запустите полное сканирование системы и удалите все обнаруженные угрозы.
3. Системы обновления и исправления: убедитесь, что ваша операционная система, программное обеспечение и инструменты безопасности обновлены до последних исправлений. Это помогает закрыть уязвимости, которые могут использовать вредоносные программы, такие как EastWind.
4. Мониторинг сетевого трафика: Регулярно контролируйте сетевой трафик на предмет необычной активности, особенно подключений к неизвестным серверам C2 или облачным сервисам, таким как Dropbox, Microsoft Graph и Yandex Cloud. Подозрительный трафик следует расследовать и блокировать.
5. Изолируйте зараженные системы: Если обнаружено заражение, немедленно изолируйте пораженную систему от сети, чтобы предотвратить дальнейшее распространение. Проведите тщательное расследование, чтобы выявить и удалить все следы вредоносного ПО.
6. Укрепите безопасность электронной почты: внедрите надежные меры безопасности электронной почты, включая спам-фильтры, протоколы аутентификации электронной почты и обучение сотрудников распознаванию попыток фишинга.

Кампания EastWind — это суровое напоминание о развивающихся тактиках, используемых киберпреступниками для взлома защиты и кражи конфиденциальной информации. Сохраняя бдительность и применяя комплексную стратегию безопасности, организации могут защитить себя от этой и других сложных угроз. Убедитесь, что ваши системы защищены от этих бэкдоров и троянов, и примите упреждающие меры для обнаружения и устранения любых признаков заражения.