Een voorheen niet-gedocumenteerde groep geavanceerde persistente dreigingen (APT) genaamd Wolkentovenaar Er is waargenomen dat Russische overheidsinstanties worden aangevallen door clouddiensten te gebruiken voor command-and-control (C2) en data-exfiltratie.
Cybersecuritybedrijf Kaspersky, dat de activiteit in mei 2024 ontdekte, heeft een handelswijze aangenomen door de dreigingsactor die overeenkomsten vertoont met die van CloudWizard, maar wees op de verschillen in de broncode van de malware. De aanvallen maken gebruik van een innovatief programma voor het verzamelen van gegevens en een reeks ontwijkingstechnieken om hun sporen te verdoezelen.
“Het is een geavanceerde cyberespionagetool die wordt gebruikt voor heimelijke monitoring, gegevensverzameling en exfiltratie via de cloudinfrastructuur van Microsoft Graph, Yandex Cloud en Dropbox”, aldus de Russische beveiligingsleverancier.
“De malware maakt gebruik van cloudbronnen als command and control (C2)-servers en krijgt er toegang toe via API’s met behulp van authenticatietokens. Bovendien gebruikt CloudSorcerer GitHub als zijn initiële C2-server.”
De exacte methode die wordt gebruikt om doelen te infiltreren is momenteel onbekend, maar de initiële toegang wordt misbruikt om een C-gebaseerd draagbaar uitvoerbaar binair bestand te droppen dat wordt gebruikt als een backdoor, C2-communicatie te initiëren of shellcode te injecteren in andere legitieme processen op basis van het proces waarin het wordt uitgevoerd – namelijk mspaint.exe, msiexec.exe of dat de tekenreeks ‘browser’ bevat.
“Het vermogen van de malware om zijn gedrag dynamisch aan te passen op basis van het proces waarin het wordt uitgevoerd, in combinatie met het gebruik van complexe communicatie tussen processen via Windows-kanalen, onderstreept de verfijning van de malware”, aldus Kaspersky.
Het backdoor-component is ontworpen om informatie over de computer van het slachtoffer te verzamelen en instructies op te halen om bestanden en mappen te inventariseren, shell-opdrachten uit te voeren, bestandsbewerkingen uit te voeren en aanvullende payloads uit te voeren.
De C2-module maakt verbinding met een GitHub-pagina die fungeert als een dead drop resolver om een gecodeerde hex-tekenreeks op te halen die verwijst naar de daadwerkelijke server die wordt gehost op Microsoft Graph of Yandex Cloud.
“Als alternatief, in plaats van verbinding te maken met GitHub, probeert CloudSorcerer dezelfde gegevens ook te halen van hxxps://my.mail(.)ru/, wat een Russische cloud-gebaseerde fotohostingserver is,” zei Kaspersky. “De naam van het fotoalbum bevat dezelfde hex-string.”
“De CloudSorcerer-malware vertegenwoordigt een geavanceerde toolset die gericht is op Russische overheidsinstanties. Het gebruik van cloudservices zoals Microsoft Graph, Yandex Cloud en Dropbox voor C2-infrastructuur, samen met GitHub voor initiële C2-communicatie, toont een goed geplande aanpak van cyberespionage.”
