Злоумышленники провели сложную кибершпионскую кампанию против российских государственных организаций. Специалисты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) дали ей имя — CloudSorcerer.
В качестве командного центра (C2) атакующие используют GitHub. Используя токены аутентификации, группа получает доступ к облачным сервисам вроде Dropboх через API.
В Kaspersky также отмечают многоступенчатый подход: первым делом киберпреступники разворачивают на устройстве жертвы вредоносную программу, затем подстраивают её функциональность под настройки системы. Далее зловред активирует различные возможности: сбор, копирование и удаление данных; запуск модуля связи с командным сервером; внедрение шелл-кода.
На качественно проработанную кампанию указывает и возможность вредоноса адаптироваться под процесс, в котором он запущен, а также сложное межпроцессное взаимодействие через каналы Windows.
Более того, в CloudSorcerer злоумышленники применяют оригинальные методы шифрования и обфускации. Зловред декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для проведения атак.
Мы в VK: https://vk.com/darkwebex
