卡巴斯基全球研究与分析团队(GReAT)发现一个新的高级持续性威胁(APT)组织,名为CloudSorcerer,该组织一直在积极针对俄罗斯政府实体进行攻击。这一复杂的网络间谍工具利用云服务和GitHub作为命令和控制(C2)服务器,与2023年报告的CloudWizard APT所使用的技术相似。
尽管与同被卡巴斯基发现的CloudWizard 存在相似之处,但 CloudSorcerer 采用了独特的代码库和功能,使其成为一个独特的网络威胁行为者。该组织利用公共云基础设施,包括微软Graph、Yandex Cloud和Dropbox,作为其主要的命令和控制(C2)服务器。恶意软件通过API与C2服务器交互,使用从看似合法的GitHub页面获取认证令牌。
CloudSorcerer采用多阶段攻击策略。首先,攻击者手动将恶意软件部署到受害者的机器上。一旦获得访问权限,CloudSorcerer会根据其感染的进程调整其功能。例如,它在 mspaint.exe 中运行时的行为可能与在 msiexec.exe 中运行时不同。为了与命令和控制中心(C2)建立通信,CloudSorcerer从GitHub页面获取详细信息,其中可能包括云存储位置。最后,恶意软件收集系统信息并使用所选云服务的API将其泄露到指定的云存储中。
值得注意的是,CloudSorcerer采用复杂的混淆和加密技术来逃避检测。它使用硬编码的字符码表解码命令,并操纵Microsoft COM对象接口来执行其恶意操作。
“CloudSorcerer 的部署突出了将公共云服务用于间谍活动的复杂攻击方式,展示了威胁行为者如何利用这些平台来隐藏其活动。通过将合法的云服务集成到其操作中,这些行为者不仅增强了其不被发现的能力,而且还利用了这些平台的强大基础设施来有效地执行复杂的间谍活动。我们正在进行的研究强调了在政府和企业网络安全战略中识别和消除此类隐蔽战术的重要性,”卡巴斯基全球研究与分析团队(GReAT)首席网络安全研究员Sergey Lozhkin评论说。
卡巴斯基将继续监控和分析CloudSorcerer等网络威胁,确保其网络安全解决方案和威胁情报保持最新,以应对最新的挑战。
为了避免成为已知或未知的威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
· 为您的SOC团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
· 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。
· 为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
· 除了采用基础端点保护之外,还应实施企业级安全解决方案,在早期阶段检测网络层面的高级威胁,例如卡巴斯基反针对性攻击平台。
· 由于许多针对性的攻击都始于网络钓鱼或其他社交工程技术,建议引入安全意识培训并向团队教授实用技能,例如通过卡巴斯基自动化安全意识平台进行培训
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
