08 de julio de 2024Sala de prensaCiberespionaje / Seguridad en la nubeSe ha observado que un grupo de amenazas persistentes avanzadas (APT) no documentado anteriormente, denominado CloudSorcerer, ataca a entidades gubernamentales rusas aprovechando los servicios en la nube para el comando y control (C2) y la exfiltración de datos. La empresa de ciberseguridad Kaspersky, que descubrió la actividad en mayo de 2024, dijo que la estrategia adoptada por el actor de amenazas tiene similitudes con la de CloudWizard, pero señaló las diferencias en el código fuente del malware. Los ataques utilizan un innovador programa de recopilación de datos y una serie de tácticas de evasión para cubrir sus huellas. «Es una sofisticada herramienta de ciberespionaje que se utiliza para el monitoreo sigiloso, la recopilación de datos y la exfiltración a través de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox», dijo el proveedor de seguridad ruso. «El malware aprovecha los recursos de la nube como servidores de comando y control (C2), a los que accede a través de API mediante tokens de autenticación. Además, CloudSorcerer utiliza GitHub como su servidor C2 inicial». Actualmente se desconoce el método exacto utilizado para infiltrarse en los objetivos, pero el acceso inicial se aprovecha para colocar un binario ejecutable portátil basado en C que se utiliza como puerta trasera, iniciar comunicaciones C2 o inyectar shellcode en otros procesos legítimos en función del proceso en el que se ejecuta, es decir, mspaint.exe, msiexec.exe o que contiene la cadena «browser». «La capacidad del malware para adaptar dinámicamente su comportamiento en función del proceso en el que se ejecuta, junto con su uso de una comunicación compleja entre procesos a través de tuberías de Windows, resalta aún más su sofisticación», señaló Kaspersky. El componente de puerta trasera está diseñado para recopilar información sobre la máquina víctima y recuperar instrucciones para enumerar archivos y carpetas, ejecutar comandos de shell, realizar operaciones de archivos y ejecutar cargas útiles adicionales. El módulo C2, por su parte, se conecta a una página de GitHub que actúa como un solucionador de punto muerto para obtener una cadena hexadecimal codificada que apunta al servidor real alojado en Microsoft Graph o Yandex Cloud. «Alternativamente, en lugar de conectarse a GitHub, CloudSorcerer también intenta obtener los mismos datos de hxxps://my.mail[.]»El nombre del álbum de fotos contiene la misma cadena hexadecimal», dijo Kaspersky. «El malware CloudSorcerer representa un conjunto de herramientas sofisticadas que apuntan a las entidades gubernamentales rusas. Su uso de servicios en la nube como Microsoft Graph, Yandex Cloud y Dropbox para la infraestructura C2, junto con GitHub para las comunicaciones iniciales C2, demuestra un enfoque bien planificado para el espionaje cibernético». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.