Un nouveau groupe de menaces persistantes avancées (APT) nommé CloudSorcerer abuse des services de cloud public pour voler des données aux organisations gouvernementales russes dans le cadre d'attaques de cyberespionnage.

Chercheurs en sécurité chez Kaspersky découvert le groupe de cyberespionnage en mai 2024. Ils rapportent que CloudSorcerer utilise des logiciels malveillants personnalisés qui utilisent des services cloud légitimes pour les opérations de commandement et de contrôle (C2) et le stockage de données.

Kaspersky note que le modus operandi de CloudSorcerer est similaire à APT de CloudWizardmais leur logiciel malveillant est distinct, ce qui amène les chercheurs en sécurité à penser qu'il s'agit d'un nouvel acteur de menace.

Détails du malware CloudSorcerer

Bien que Kaspersky n'explique pas comment les acteurs de la menace pénètrent initialement dans un réseau, ils disent qu'ils exécutent manuellement la porte dérobée Windows personnalisée.

Le logiciel malveillant a un comportement spécifique au processus en fonction de l'endroit où il a été injecté, qu'il détermine à l'aide de « GetModuleFileNameA ».

S'il est exécuté depuis « mspaint.exe », il agit comme une porte dérobée, collectant des données et exécutant du code. Cependant, s'il est lancé depuis « msiexec.exe », il initie d'abord la communication C2 pour recevoir les commandes à exécuter.

La communication initiale est une demande adressée à un référentiel GitHub (en vigueur au moment de la rédaction) qui contient une chaîne hexadécimale qui détermine quel service cloud utiliser pour les opérations C2 ultérieures : Microsoft Graph, Yandex Cloud ou Dropbox.

Pour les processus qui ne correspondent à aucun comportement codé en dur, le logiciel malveillant injecte du shellcode dans le processus MSIexec, MSPaint ou Explorer et met fin au processus initial.

Le shellcode analyse le bloc d'environnement de processus (PEB) pour identifier les décalages DLL de base de Windows, identifie les API Windows requises à l'aide de l'algorithme ROR14 et mappe le code CloudSorcerer dans la mémoire des processus ciblés.

L'échange de données entre les modules est organisé via des canaux Windows pour une communication interprocessus transparente.

Le module de porte dérobée, qui effectue le vol de données, collecte des informations système telles que le nom de l'ordinateur, le nom d'utilisateur, la sous-version de Windows et le temps de disponibilité du système.

Il prend également en charge une gamme de commandes récupérées à partir du C2, notamment :

• Exécution de commandes Shell à l'aide de l'API « ShellExecuteExW »
• Copier, déplacer, renommer ou supprimer des fichiers
• Recevez un shellcode du pipeline et injectez-le dans n'importe quel processus en allouant de la mémoire et en créant un nouveau thread dans un processus distant
• Recevez un fichier PE, créez une section et mappez-la dans le processus distant
• Créer un processus à l'aide d'interfaces COM
• Créer un processus en tant qu'utilisateur dédié
• Créer un nouveau service ou modifier un service existant
• Ajoutez de nouveaux utilisateurs du réseau ou supprimez des utilisateurs légitimes du système

Dans l’ensemble, la porte dérobée CloudSorcerer est un outil puissant qui permet aux acteurs de la menace d’effectuer des actions malveillantes sur les machines infectées.

Kaspersky caractérise les attaques CloudSorcerer comme étant hautement sophistiquées en raison de l'adaptation dynamique du malware et des mécanismes de communication de données secrets.

Les indicateurs de compromission (IoC) et les règles Yara pour détecter le malware CloudSorcerer sont disponibles au bas du rapport de Kaspersky.