EastWind 攻击活动通过 CloudSorcerer 针对俄罗斯政府和 IT 组织

在新一轮网络攻击中，俄罗斯政府实体和 IT 组织正成为名为 EastWind 的复杂鱼叉式网络钓鱼攻击的目标。该攻击通过隐藏在 RAR 存档附件中的恶意 Windows 快捷方式 (LNK) 文件传播一系列后门和木马，利用 Windows 系统。当毫无戒心的用户打开这些文件时，他们会触发复杂的感染序列，最终导致部署几种危险的恶意软件变体，包括 GrewApacha、CloudSorcerer 后门的更新版本以及新发现的名为 PlugY 的植入程序。

感染过程

EastWind 活动始于一个看似无害的 LNK 文件。然而，这个文件绝不是无害的。它利用 DLL 侧载技术执行恶意 DLL 文件，并使用 Dropbox 作为通信渠道。一旦感染活跃，它就会进行侦察并下载其他有效载荷。

部署的恶意软件包括GrewApacha ，这是一个之前与中国 APT31 组织有关的后门。该恶意软件利用被盗用的 GitHub 配置文件存储 Base64 编码的字符串，该字符串充当命令和控制 (C2) 服务器。

此次攻击的另一个关键组件是CloudSorcerer ，这是一种非常先进的网络间谍工具。此后门利用 Microsoft Graph、Yandex Cloud 和 Dropbox 等流行云服务，实现隐蔽监控、数据收集和泄露。它采用基于加密的保护机制，通过生成从 Windows GetTickCount() 函数派生的唯一密钥，确保恶意软件仅在目标受害者的机器上激活。

此次活动中观察到的最后一款恶意软件是PlugY ，这是一个功能齐全的后门，能够执行 shell 命令、监视受害者的屏幕、记录击键并捕获剪贴板内容。PlugY 使用 TCP、UDP 或命名管道连接到管理服务器，并且与已知后门 DRBControl 有相似之处，后者归因于 APT27 和 APT41 等与中国有联系的威胁行为者。

缓解和消除

鉴于 EastWind 活动的复杂性，缓解和消除这些威胁需要采取多层次的方法：

1. 避免打开可疑文件：不要打开意外或可疑的附件，尤其是 RAR 存档或 LNK 文件。如果您收到此类文件，请先与发件人核实其合法性，然后再继续操作。
2. 使用高级防病毒解决方案：使用能够检测和删除 GrewApacha、CloudSorcerer 和 PlugY 等高级威胁的更新防病毒解决方案。运行完整的系统扫描并删除任何检测到的威胁。
3. 更新和修补系统：确保您的操作系统、软件和安全工具已安装最新修补程序。这有助于消除 EastWind 等恶意软件可能利用的漏洞。
4. 监控网络流量：定期监控网络流量是否存在异常活动，尤其是与未知 C2 服务器或 Dropbox、Microsoft Graph 和 Yandex Cloud 等云服务的连接。应调查并阻止可疑流量。
5. 隔离受感染的系统：如果检测到感染，立即将受影响的系统与网络隔离，以防止进一步传播。进行彻底调查，以识别并清除恶意软件的所有痕迹。
6. 加强电子邮件安全：实施强大的电子邮件安全措施，包括垃圾邮件过滤器、电子邮件身份验证协议和员工培训以识别网络钓鱼尝试。

EastWind 活动清楚地提醒我们，网络犯罪分子用于突破防御和窃取敏感信息的手段正在不断演变。通过保持警惕并采用全面的安全策略，组织可以保护自己免受此类威胁和其他高级威胁。确保您的系统能够抵御这些后门和木马，并采取主动措施检测和清除任何感染迹象。