EastWind-kampanjen riktar sig till ryska myndigheter och IT-organisationer via CloudSorcerer

I en ny våg av cyberattacker är ryska statliga enheter och IT-organisationer måltavlor av en sofistikerad spjutfiskekampanj känd som EastWind. Den här kampanjen levererar en serie bakdörrar och trojaner som utnyttjar Windows-system genom en skadlig Windows-genvägsfil (LNK) gömd i RAR-arkivbilagor. När intet ont anande användare öppnar dessa filer utlöser de en komplex infektionssekvens som i slutändan leder till att flera farliga varianter av skadlig programvara distribueras, inklusive GrewApacha, en uppdaterad version av CloudSorcerer-bakdörren och ett nyligen identifierat implantat som heter PlugY.

Infektionsprocessen

EastWind-kampanjen börjar med en till synes harmlös LNK-fil. Den här filen är dock allt annat än godartad. Det utnyttjar tekniker för sidladdning av DLL för att exekvera en skadlig DLL-fil, med Dropbox som kommunikationskanal. När infektionen är aktiv utför den spaning och laddar ner ytterligare nyttolaster.

Bland de utplacerade skadliga programmen finns GrewApacha , en bakdörr som tidigare associerats med den Kina-länkade APT31-gruppen. Denna skadliga programvara använder en komprometterad GitHub-profil för att lagra en Base64-kodad sträng, som fungerar som kommando-och-kontroll-servern (C2).

En annan nyckelkomponent i denna attack är CloudSorcerer , ett mycket avancerat cyberspionageverktyg. Denna bakdörr underlättar hemlig övervakning, datainsamling och exfiltrering genom att utnyttja populära molntjänster som Microsoft Graph, Yandex Cloud och Dropbox. Den använder en krypteringsbaserad skyddsmekanism, som säkerställer att skadlig programvara endast aktiveras på det avsedda offrets dator genom att generera en unik nyckel som härrör från Windows GetTickCount()-funktionen.

Den sista delen av skadlig programvara som observerats i den här kampanjen är PlugY , en fullt utrustad bakdörr som kan utföra skalkommandon, övervaka offrets skärm, logga tangenttryckningar och fånga innehåll från urklipp. PlugY ansluter till en hanteringsserver med hjälp av TCP, UDP eller namngivna pipes och uppvisar likheter med en känd bakdörr som heter DRBControl, som tillskrivs Kina-nexus-hotaktörer som APT27 och APT41.

Begränsning och borttagning

Med tanke på den sofistikerade EastWind-kampanjen kräver att mildra och ta bort dessa hot ett mångskiktat tillvägagångssätt:

1. Undvik att öppna misstänkta filer: Öppna inte oväntade eller misstänkta bilagor, särskilt om de kommer i form av RAR-arkiv eller LNK-filer. Om du får en sådan fil, verifiera dess legitimitet med avsändaren innan du fortsätter.
2. Använd avancerade antiviruslösningar: Använd en uppdaterad antiviruslösning som kan upptäcka och ta bort avancerade hot som GrewApacha, CloudSorcerer och PlugY. Kör en fullständig systemgenomsökning och ta bort alla upptäckta hot.
3. Uppdatering och korrigeringssystem: Se till att ditt operativsystem, programvara och säkerhetsverktyg är uppdaterade med de senaste korrigeringarna. Detta hjälper till att stänga sårbarheter som skadlig programvara som EastWind kan utnyttja.
4. Övervaka nätverkstrafik: Övervaka nätverkstrafik regelbundet efter ovanlig aktivitet, särskilt anslutningar till okända C2-servrar eller molntjänster som Dropbox, Microsoft Graph och Yandex Cloud. Misstänkt trafik ska utredas och spärras.
5. Isolera infekterade system: Om en infektion upptäcks, isolera omedelbart det drabbade systemet från nätverket för att förhindra ytterligare spridning. Genomför en grundlig undersökning för att identifiera och ta bort alla spår av skadlig programvara.
6. Stärk e-postsäkerhet: Implementera robusta e-postsäkerhetsåtgärder, inklusive spamfilter, protokoll för e-autentisering och utbildning av anställda för att känna igen nätfiskeförsök.

EastWind-kampanjen är en stark påminnelse om den utvecklande taktiken som används av cyberkriminella för att bryta mot försvar och stjäla känslig information. Genom att vara vaksam och använda en omfattande säkerhetsstrategi kan organisationer skydda sig mot detta och andra avancerade hot. Se till att dina system är stärkta mot dessa bakdörrar och trojaner, och vidta proaktiva åtgärder för att upptäcka och ta bort alla tecken på infektion.