De Russische overheid en IT-organisaties zijn het doelwit van een nieuwe campagne die een aantal backdoors en trojans levert als onderdeel van een spear-phishingcampagne met de codenaam OostWind.
De aanvalsketens worden gekenmerkt door het gebruik van RAR-archiefbijlagen met daarin een Windows-snelkoppelingsbestand (LNK). Bij het openen ervan wordt de infectiesequentie geactiveerd, wat resulteert in de implementatie van malware zoals GrewApacha, een bijgewerkte versie van de CloudSorcerer-backdoor en een tot nu toe niet gedocumenteerd implantaat met de naam PlugY.
PlugY wordt “gedownload via de CloudSorcerer-backdoor, heeft een uitgebreide set opdrachten en ondersteunt drie verschillende protocollen voor communicatie met de command-and-control-server”, aldus het Russische cybersecuritybedrijf Kaspersky.
De eerste infectievector maakt gebruik van een LNK-bestand met een boobytrap, dat gebruikmaakt van DLL-sideloadingtechnieken om een schadelijk DLL-bestand te starten dat Dropbox gebruikt als communicatiemechanisme om verkenningsopdrachten uit te voeren en aanvullende payloads te downloaden.
Onder de malware die met de DLL is ingezet, bevindt zich GrewApacha, een bekende backdoor die eerder is gekoppeld aan de aan China gelinkte APT31-groep. Ook gelanceerd met DLL-sideloading, gebruikt het een door de aanvaller gecontroleerd GitHub-profiel als een dead drop resolver om een Base64-gecodeerde string van de daadwerkelijke C2-server op te slaan.
CloudSorcerer is daarentegen een geavanceerde cyberespionagetool die wordt gebruikt voor stealth-monitoring, gegevensverzameling en exfiltratie via Microsoft Graph, Yandex Cloud en Dropbox cloudinfrastructuur. Net als in het geval van GrewApacha maakt de bijgewerkte variant gebruik van legitieme platforms zoals LiveJournal en Quora als een initiële C2-server.
“Net als bij eerdere versies van CloudSorcerer bevatten profielbiografieën een gecodeerd authenticatietoken om te communiceren met de cloudservice”, aldus Kaspersky.
Bovendien maakt het gebruik van een op encryptie gebaseerd beschermingsmechanisme dat ervoor zorgt dat de malware alleen op de computer van het slachtoffer wordt gedetoneerd. Dit gebeurt met behulp van een unieke sleutel die tijdens runtime wordt afgeleid van de Windows-functie GetTickCount().
De derde malwarefamilie die bij de aanvallen werd waargenomen, is PlugY. Dit is een backdoor met alle functies die verbinding maakt met een beheerserver via TCP, UDP of named pipes. Deze backdoor beschikt over de mogelijkheid om shell-opdrachten uit te voeren, het scherm van het apparaat te bewaken, toetsaanslagen te registreren en de inhoud van het klembord vast te leggen.
Volgens Kaspersky heeft een analyse van de broncode van PlugX overeenkomsten aan het licht gebracht met een bekende backdoor genaamd DRBControl (ook bekend als Clambling), die is toegeschreven aan dreigingsclusters in de Chinese regio, namelijk APT27 en APT41.
“De aanvallers achter de EastWind-campagne gebruikten populaire netwerkdiensten als commandoservers – GitHub, Dropbox, Quora, maar ook het Russische LiveJournal en Yandex Disk”, aldus het bedrijf.
Kaspersky onthulde ook details over een watering hole-aanval waarbij een legitieme site met betrekking tot gasleveringen in Rusland werd gehackt om een worm met de naam CMoon te verspreiden. Deze worm kan vertrouwelijke gegevens en betalingsgegevens verzamelen, screenshots maken, extra malware downloaden en DDoS-aanvallen (Distributed Denial-of-Service) uitvoeren op interessante doelen.
De malware verzamelt ook bestanden en gegevens van verschillende webbrowsers, cryptocurrency wallets, apps voor instant messaging, SSH-clients, FTP-software, apps voor video-opname en -streaming, authenticators, tools voor extern bureaublad en VPN’s.
“CMoon is een worm geschreven in . NET, met brede functionaliteit voor datadiefstal en remote control”, aldus het. “Direct na de installatie begint het uitvoerbare bestand de aangesloten USB-drives te monitoren. Hiermee kunt u bestanden stelen die mogelijk interessant zijn voor aanvallers van verwijderbare media, en een worm naar hen kopiëren en andere computers infecteren waar de drive zal worden gebruikt.”
