Um grupo de ameaças persistentes avançadas (APT) não documentado anteriormente, denominado Feiticeiro das Nuvens foi observado visando entidades governamentais russas aproveitando serviços de nuvem para comando e controle (C2) e exfiltração de dados.
A empresa de segurança cibernética Kaspersky, que descobriu a atividade em maio de 2024, a técnica adotada pelo agente de ameaças tem semelhanças com a da CloudWizard, mas apontou as diferenças no código-fonte do malware. Os ataques usam um programa inovador de coleta de dados e uma série de táticas de evasão para cobrir seus rastros.
“É uma ferramenta sofisticada de espionagem cibernética usada para monitoramento furtivo, coleta de dados e exfiltração by way of infraestrutura de nuvem Microsoft Graph, Yandex Cloud e Dropbox”, disse o fornecedor de segurança russo.
“O malware aproveita os recursos da nuvem como seus servidores de comando e controle (C2), acessando-os por meio de APIs usando tokens de autenticação. Além disso, o CloudSorcerer usa o GitHub como seu servidor C2 inicial.”
O método exato usado para infiltrar alvos é atualmente desconhecido, mas o acesso inicial é explorado para soltar um binário executável portátil baseado em C que é usado como backdoor, iniciar comunicações C2 ou injetar shellcode em outros processos legítimos com base no processo no qual ele é executado – ou seja, mspaint.exe, msiexec.exe ou contém a string “browser”.
“A capacidade do malware de adaptar dinamicamente seu comportamento com base no processo em que está sendo executado, juntamente com seu uso de comunicação complexa entre processos por meio de pipes do Home windows, destaca ainda mais sua sofisticação”, observou a Kaspersky.
O componente backdoor é projetado para coletar informações sobre a máquina da vítima e recuperar instruções para enumerar arquivos e pastas, executar comandos de shell, realizar operações de arquivo e executar cargas úteis adicionais.
O módulo C2, por sua vez, conecta-se a uma página do GitHub que atua como um resolvedor de lifeless drop para buscar uma string hexadecimal codificada apontando para o servidor actual hospedado no Microsoft Graph ou Yandex Cloud.
“Alternativamente, em vez de se conectar ao GitHub, o CloudSorcerer também tenta obter os mesmos dados de hxxps://my.mail(.)ru/, que é um servidor russo de hospedagem de fotos baseado em nuvem”, disse Kaspersky. “O nome do álbum de fotos contém a mesma sequência hexadecimal.”
“O malware CloudSorcerer representa um conjunto de ferramentas sofisticado que tem como alvo entidades governamentais russas. Seu uso de serviços de nuvem como Microsoft Graph, Yandex Cloud e Dropbox para infraestrutura C2, juntamente com GitHub para comunicações C2 iniciais, demonstra uma abordagem bem planejada para espionagem cibernética.”