详细内容或原文请订阅后点击阅览
CloudSorcerer:黑客通过 Microsoft Graph、Yandex Cloud 和 Dropbox 监视俄罗斯官员
政府机构面临着复杂的云攻击。
来源:安全实验室新闻频道CloudSorcerer:黑客通过 Microsoft Graph、Yandex Cloud 和 Dropbox 监视俄罗斯官员
政府机构面临着复杂的云攻击。
2024 年 5 月,俄罗斯政府组织面临一种新的、特别复杂的网络攻击,专家将其称为 CloudSorcerer。这款强大的网络间谍工具旨在通过 Microsoft Graph、Yandex Cloud 和 Dropbox 云服务进行谨慎监视、收集和泄露数据。 CloudSorcerer 的独特之处在于它使用这些云平台作为 C&C 服务器,恶意软件通过 API 和身份验证令牌与其进行交互。有趣的是,GitHub 存储库还充当初始命令和控制服务器。
专家配音CloudSorcerer 类似于 2023 年发现的 CloudWizard APT 威胁。然而,尽管原理相似,但新的恶意软件具有完全不同的代码,这表明另一个黑客组织使用类似的方法与云服务交互。
CloudSorcerer 的功能
CloudSorcerer 的功能CloudSorcerer 是一种多层威胁,它使用公共云服务来管理和协调其操作。该恶意软件通过特殊命令与 C&C 服务器进行通信,并使用给定的字符表对其进行解码。攻击者还利用 Microsoft COM 对象接口执行恶意操作。
CloudSorcerer 的功能取决于它运行的进程。最初是用 C 编写的单个二进制文件,该程序根据运行的进程调整其功能。例如,当在 mspaint.exe 进程中启动时,CloudSorcerer 充当后门,收集数据并执行恶意代码。如果进程是 msiexec.exe,则恶意软件会启动与命令和控制服务器的通信模块。
技术细节
技术细节结论