前沿追踪 | 深度分析新型APT组织CloudSorcerer
💡
原文中文,约4600字,阅读约需11分钟。
📝
内容提要
2024年5月,卡巴斯基全球研究与分析团队发现了一个名为CloudSorcerer的新的高级持续性威胁组织,该组织一直在积极针对俄罗斯政府实体进行攻击。CloudSorcerer使用云服务和GitHub作为其主要C2服务器,具有动态调整行为和复杂的进程间通信的能力。尽管与之前的CloudWizard APT有相似之处,但CloudSorcerer很可能是一个新的攻击者,正在开发自己独特的工具。
🎯
关键要点
- 2024年5月,卡巴斯基发现新的APT组织CloudSorcerer,主要针对俄罗斯政府实体。
- CloudSorcerer使用云服务和GitHub作为其主要C2服务器,进行数据收集和泄露。
- 该恶意软件具有动态调整行为和复杂的进程间通信能力。
- CloudSorcerer的攻击技术与CloudWizard APT相似,但源代码和功能存在显著差异,推测为新攻击者。
- 恶意软件通过API使用认证令牌访问云资源,并使用硬编码字符代码表与C2交互。
- CloudSorcerer根据运行的进程激活不同的功能,执行后门模块和C2通信模块。
- 恶意软件通过Windows管道进行数据交换,收集系统信息并执行多种命令。
- CloudSorcerer的C2模块通过GitHub页面与云服务交互,展示了复杂的网络间谍活动。
- 该恶意软件的基础设施包括GitHub和Mail.ru照片托管,显示出精心规划的攻击手法。
- 尽管与CloudWizard APT有相似之处,但CloudSorcerer被认为是一个新的攻击者,正在开发独特的工具。
➡️
