サイバーセキュリティ研究者らは、ロシア政府機関を標的とする新たな高度持続的脅威(APT)「CloudSorcerer」を発見した。
この高度なサイバー諜報ツールは、2024年5月にカスペルスキーによって発見され、同社が6月8日に公開したアドバイザリで取り上げられた。ステルス監視、データ収集、ならびに持ち出し(エクスフィルトレーション)を目的として設計されており、コマンド&コントロール(C2)基盤としてMicrosoft Graph、Yandex Cloud、Dropboxを利用する。
CloudSorcererは認証トークンを用いてAPI経由でこれらのクラウドサービスと通信し、初期C2サーバーとしてGitHubを使用する。
2023年に報告されたCloudWizard APTとの類似点はあるものの、CloudSorcererのマルウェアコードは完全に異なるとカスペルスキーは述べており、公開クラウドサービスと連携する類似手法を用いる新たな攻撃者である可能性を示唆している。
CloudSorcererの動作と手法
このマルウェアは、ハードコードされたcharcodeテーブルを用いて特殊コマンドをデコードし、Microsoft COMオブジェクトのインターフェースを悪意ある活動に悪用して動作する。単一の実行ファイルから派生し、実行されるプロセスに応じて、通信モジュールとデータ収集モジュールという別々のモジュールとして機能する。
マルウェアはまずGetModuleFileNameA関数を呼び出して、どのプロセス上で実行されているかを特定する。プロセス名に応じて、バックドアモジュールとして動作する、またはC2通信を開始するなど、特定の機能を有効化する。CloudSorcererのシェルコードはプロセス移行を可能にし、必要なWindows APIを特定する標準的手法を用いるとともに、標的プロセスへコードを注入する。
サイバー脅威におけるC2基盤について詳しく読む:ハッカーがオープンソースツールSliver C2を展開し、Cobalt StrikeやMetasploitを置き換え
CloudSorcererのバックドアモジュールは、コンピューター名、ユーザー名、システム稼働時間などのシステム情報を収集する。これらのデータは名前付きパイプを介してC2モジュールへ送信される。バックドアの主要機能には、ハードドライブに関する情報収集、シェルコマンドの実行、ファイル管理、プロセスへのシェルコード注入など、さまざまな操作が含まれる。
さらに、タスクの作成・削除、サービス管理、ネットワーク操作の実行など、特定のコマンドIDに基づいて追加の高度な機能が実行される。
C2モジュールは、GitHubページから開始してC2サーバーへの初期接続を確立し、代替としてmy.mail.ru上の写真ホスティングサーバーを使用することもできる。これらのページにある16進文字列をデコードし、C2操作にどのクラウドサービスを使用するかを判断する。その後マルウェアはクラウドサービスとやり取りし、非同期スレッドとWindowsパイプを通じてバックドアモジュールとの間でデータの送受信を行う。
高度なサイバー諜報キャンペーンを示す指標
カスペルスキーによれば、CloudSorcererが使用するインフラは周到に計画されたサイバー諜報キャンペーンを示している。2024年5月7日に作成されたGitHubページとmy.mail.ruの写真アルバムの双方に、マルウェアの動作に不可欠なエンコード文字列が含まれている。
「マルウェアが実行中のプロセスに応じて動作を動的に適応させる能力に加え、Windowsパイプを介した複雑なプロセス間通信を用いている点は、その高度さをさらに際立たせている」と、 アドバイザリには記されている。
「先に報告されたCloudWizard APTと手口に類似点はあるものの、コードと機能における大きな違いは、CloudSorcererが新たな攻撃者である可能性が高いことを示唆している。過去の手法に触発されつつも、独自のユニークなツールを開発しているのだろう。」
翻訳元: https://www.infosecurity-magazine.com/news/cloudsorcerer-malware-hits-russian/
