Xuất hiện nhóm APT mới có tên CloudSorcerer nhắm mục tiêu vào chính phủ Nga
Công ty an ninh mạng Kaspersky đã phát hiện ra hoạt động này vào tháng 5 năm 2024. Công ty cho biết thủ đoạn mà nhóm tin tặc sử dụng có những điểm tương đồng với CloudWizard, nhưng chỉ ra những điểm khác biệt trong mã nguồn phần mềm độc hại. Các cuộc tấn công sử dụng một chương trình thu thập dữ liệu sáng tạo và một loạt chiến thuật trốn tránh để che đậy dấu vết.
Đây là một công cụ gián điệp mạng tinh vi được sử dụng để giám sát lén lút, thu thập và lọc dữ liệu thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại tận dụng tài nguyên đám mây làm máy chủ ra lệnh và kiểm soát (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Ngoài ra, CloudSorcerer sử dụng GitHub làm máy chủ C2 ban đầu.
Hiện chưa rõ phương pháp chính xác được sử dụng để xâm nhập vào các mục tiêu, nhưng quyền truy cập ban đầu được khai thác để loại bỏ tệp nhị phân thực thi di động dựa trên C được sử dụng làm backdoor, khởi tạo liên lạc C2 hoặc đưa shellcode vào các quy trình hợp pháp khác dựa trên quy trình trong đó nó được thực thi – cụ thể là mspaint.exe, msiexec.exe hoặc chứa chuỗi "browser".
Công ty Kaspersky lưu ý người dùng: “Khả năng của phần mềm độc hại tự động điều chỉnh hành vi của nó dựa trên tiến trình mà nó đang chạy, cùng với việc sử dụng giao tiếp giữa các tiến trình phức tạp thông qua các đường dẫn của Windows, càng làm nổi bật thêm sự tinh vi của nó”.
Hà Phương