【安全资讯】新黑客组织利用公共云服务对俄罗斯机构进行网络间谍活动

概要：

卡巴斯基实验室的研究人员发现了一个名为CloudSorcerer的新黑客组织，该组织利用复杂的网络间谍工具从俄罗斯政府机构窃取数据。这一活动首次在五月被发现，并被认为与去年针对乌克兰被占领土的外交和研究机构的CloudWizard组织有相似之处。

主要内容：

卡巴斯基实验室的研究人员表示，CloudSorcerer使用了一种复杂的网络间谍工具，通过公共云服务窃取俄罗斯政府机构的数据。尽管CloudSorcerer和CloudWizard使用完全不同的恶意软件代码，但卡巴斯基认为CloudSorcerer可能受到CloudWizard技术的启发，并开发了自己的独特工具。

CloudSorcerer的恶意软件使用GitHub作为初始命令和控制（C2）服务器，并依赖Yandex Cloud和Dropbox等合法云服务进行隐蔽监控和数据收集。该恶意软件由不同模块组成，如通信模块和数据收集模块，可以独立执行特定任务。其后门模块可以收集受害者机器的各种系统信息，并执行文件操作和高级功能。

该恶意软件的复杂性体现在其能够根据运行的进程动态调整行为，并通过Windows进行复杂通信。尽管目前尚不清楚黑客如何初次访问目标网络以及其所属国家，但美国的Proofpoint公司也观察到了类似的活动，表明CloudSorcerer可能与一个名为UNK_ArbitraryAcrobat的集群有关。

Proofpoint在五月底观察到一次针对美国组织的攻击活动，使用伪造的电子邮件账户发送虚假活动邀请作为诱饵。其恶意软件连接到GitHub或TechNet上的特定在线配置文件，检索以十六进制表示的数据块，这与CloudSorcerer的行为类似。