EastWind 活動透過 CloudSorcerer 針對俄羅斯政府和 IT 組織

在新一波網路攻擊中，俄羅斯政府實體和 IT 組織正成為名為 EastWind 的複雜魚叉式網路釣魚活動的目標。該活動提供一系列後門和木馬，透過隱藏在 RAR 存檔附件中的惡意 Windows 捷徑 (LNK) 檔案來利用 Windows 系統。當毫無戒心的用戶打開這些文件時，他們會觸發複雜的感染序列，最終導致部署多個危險的惡意軟體變體，包括GrewApacha、CloudSorcerer 後門的更新版本以及新發現的名為PlugY 的植入程序。

感染過程

EastWind 活動從看似無害的 LNK 文件開始。然而，這個文件絕不是良性的。它利用 DLL 側面載入技術來執行惡意 DLL 文件，並使用 Dropbox 作為通訊通道。一旦感染活躍，它就會進行偵察並下載額外的有效負載。

部署的惡意軟體包括GrewApacha ，這是一個先前與中國相關的 APT31 組織相關的後門。該惡意軟體利用受損的 GitHub 設定檔來儲存 Base64 編碼的字串，該字串充當命令和控制 (C2) 伺服器。

此攻擊的另一個關鍵組件是CloudSorcerer ，這是一個非常先進的網路間諜工具。後門利用 Microsoft Graph、Yandex Cloud 和 Dropbox 等流行的雲端服務，促進秘密監控、資料收集和洩漏。它採用基於加密的保護機制，透過產生從 Windows GetTickCount() 函數派生的唯一金鑰，確保惡意軟體僅在目標受害者的電腦上啟動。

在此活動中觀察到的最後一個惡意軟體是PlugY ，它是一個功能齊全的後門，能夠執行 shell 命令、監視受害者的螢幕、記錄擊鍵和捕獲剪貼簿內容。 PlugY 使用 TCP、UDP 或命名管道連接到管理伺服器，並與名為 DRBControl 的已知後門有相似之處，該後門歸因於 APT27 和 APT41 等與中國相關的威脅行為者。

緩解和消除

鑑於 EastWind 活動的複雜性，減輕和消除這些威脅需要採取多層方法：

1. 避免開啟可疑文件：不要開啟意外或可疑的附件，尤其是 RAR 存檔或 LNK 檔案形式的附件。如果您收到此類文件，請在繼續之前與寄件者驗證其合法性。
2. 使用進階防毒解決方案：採用更新的防毒解決方案，能夠偵測並刪除 GrewApacha、CloudSorcerer 和 PlugY 等進階威脅。執行完整的系統掃描並刪除任何偵測到的威脅。
3. 更新和修補系統：確保您的作業系統、軟體和安全工具已安裝最新修補程式。這有助於消除 EastWind 等惡意軟體可以利用的漏洞。
4. 監控網路流量：定期監控網路流量是否有異常活動，特別是與未知 C2 伺服器或雲端服務（例如 Dropbox、Microsoft Graph 和 Yandex Cloud）的連線。應調查並阻止可疑流量。
5. 隔離受感染的系統：如果偵測到感染，請立即將受影響的系統與網路隔離，以防止進一步傳播。進行徹底調查，識別並刪除惡意軟體的所有痕跡。
6. 加強電子郵件安全：實施強大的電子郵件安全措施，包括垃圾郵件過濾器、電子郵件身份驗證協議以及識別網路釣魚嘗試的員工培訓。

EastWind 活動清楚地提醒人們，網路犯罪分子用來突破防禦和竊取敏感資訊的策略不斷演變。透過保持警惕並採用全面的安全策略，組織可以保護自己免受這種威脅和其他高階威脅的侵害。確保您的系統針對這些後門和木馬進行了強化，並採取主動措施來檢測和消除任何感染跡象。