Kelompok ancaman persisten tingkat lanjut (APT) baru bernama CloudSorcerer menyalahgunakan layanan cloud publik untuk mencuri data dari organisasi pemerintah Rusia dalam serangan spionase siber.
Peneliti keamanan Kaspersky telah menemukan kelompok spionase siber pada bulan Mei 2024. Mereka melaporkan bahwa CloudSorcerer menggunakan malware khusus yang menggunakan layanan cloud yang sah untuk operasi perintah dan kontrol (C2) serta penyimpanan data.
Kaspersky mencatat bahwa modus operandi CloudSorcerer mirip dengan APT CloudWizardtetapi malware mereka berbeda, sehingga peneliti keamanan yakin ini adalah aktor ancaman baru.
Detail malware CloudSorcerer
Walaupun Kaspersky tidak menjelaskan bagaimana pelaku ancaman awalnya membobol jaringan, mereka mengatakan mereka menjalankan backdoor Windows khusus secara manual.
Malware memiliki perilaku proses spesifik tergantung di mana ia disuntikkan, yang ditentukan menggunakan ‘GetModuleFileNameA.’
Jika dijalankan dari dalam “mspaint.exe,” ia bertindak sebagai pintu belakang, mengumpulkan data dan menjalankan kode. Namun, jika diluncurkan dalam “msiexec.exe,” ia terlebih dahulu memulai komunikasi C2 untuk menerima perintah yang akan dijalankan.
Komunikasi awal adalah permintaan ke repositori GitHub (yang aktif pada saat penulisan) yang berisi string heksadesimal yang menentukan layanan cloud mana yang akan digunakan untuk operasi C2 selanjutnya: Microsoft Graph, Yandex Cloud, atau Dropbox.
Sumber: BleepingComputer
Untuk proses yang tidak cocok dengan perilaku hardcoded, malware menyuntikkan shellcode ke dalam proses MSIexec, MSPaint, atau Explorer dan menghentikan proses awal.
Shellcode mengurai Blok Lingkungan Proses (PEB) untuk mengidentifikasi offset DLL inti Windows, mengidentifikasi API Windows yang diperlukan menggunakan algoritma ROR14, dan memetakan kode CloudSorcerer ke dalam memori proses yang ditargetkan.
Pertukaran data antara modul diatur melalui saluran Windows untuk komunikasi antar-proses yang lancar.
Modul pintu belakang, yang melakukan pencurian data, mengumpulkan informasi sistem seperti nama komputer, nama pengguna, subversi Windows, dan waktu aktif sistem.
Ia juga mendukung berbagai perintah yang diambil dari C2, termasuk:
- Eksekusi perintah Shell menggunakan API ‘ShellExecuteExW’
- Menyalin, memindahkan, mengganti nama, atau menghapus file
- Terima shellcode dari pipa dan suntikkan ke dalam proses apa pun dengan mengalokasikan memori dan membuat utas baru dalam proses jarak jauh
- Terima file PE, buat bagian, dan petakan ke dalam proses jarak jauh
- Membuat proses menggunakan antarmuka COM
- Buat proses sebagai pengguna khusus
- Buat layanan baru atau ubah layanan yang sudah ada
- Tambahkan pengguna jaringan baru atau hapus pengguna yang sah dari sistem
Secara keseluruhan, pintu belakang CloudSorcerer merupakan alat ampuh yang memungkinkan pelaku ancaman melakukan tindakan jahat pada mesin yang terinfeksi.
Kaspersky menilai serangan CloudSorcerer sangat canggih karena sifat adaptasi malware yang dinamis dan mekanisme komunikasi data yang terselubung.
Indikator kompromi (IoC) dan aturan Yara untuk mendeteksi malware CloudSorcerer tersedia di bagian bawah laporan Kaspersky.
