【安全资讯】CloudSorcerer黑客利用云服务窃取俄罗斯政府数据

概要：

近日，一个名为CloudSorcerer的高级持续性威胁（APT）组织被发现利用公共云服务对俄罗斯政府机构进行网络间谍活动，窃取敏感数据。该组织使用定制的恶意软件，通过合法的云服务进行命令与控制（C2）操作和数据存储。此事件引起了广泛关注，凸显了云服务在网络攻击中的新风险。

主要内容：

Kaspersky的安全研究人员在2024年5月首次发现了CloudSorcerer这一网络间谍组织。该组织使用的恶意软件与CloudWizard APT的操作手法相似，但其恶意软件具有独特性，表明这是一个新的威胁行为者。CloudSorcerer的恶意软件通过手动执行定制的Windows后门程序进行操作，具体行为取决于其注入的位置。

当恶意软件在“mspaint.exe”中执行时，它会作为后门收集数据并执行代码；而在“msiexec.exe”中执行时，它首先启动C2通信以接收执行命令。初始通信请求发送到一个GitHub仓库，该仓库包含一个十六进制字符串，用于确定进一步C2操作所使用的云服务，如Microsoft Graph、Yandex Cloud或Dropbox。

对于不匹配任何硬编码行为的进程，恶意软件会将shellcode注入MSIexec、MSPaint或Explorer进程，并终止初始进程。后门模块通过Windows管道进行模块间的数据交换，收集系统信息并支持一系列从C2检索的命令，如执行Shell命令、文件操作、注入shellcode、创建或修改服务等。Kaspersky将CloudSorcerer的攻击描述为高度复杂，因其恶意软件的动态适应性和隐蔽的数据通信机制。

此次事件表明，CloudSorcerer的攻击手法具有高度的隐蔽性和适应性，能够对受感染的机器执行多种恶意操作，严重威胁到受害者的网络安全。