Los investigadores de ciberseguridad han descubierto una nueva amenaza persistente avanzada (APT) dirigida a entidades gubernamentales rusas, denominada CloudSorcerer. Esta sofisticada herramienta de ciberespionaje, descubierta por Kaspersky en mayo de 2024 y analizada en un aviso publicado por la empresa el 8 de junio, está diseñada para la monitorización sigilosa, la recopilación y exfiltración de datos, utilizando Microsoft Graph, Yandex Cloud y Dropbox para su infraestructura de comando y control (C2). CloudSorcerer se comunica con estos servicios en la nube a través de API, utilizando tokens de autenticación, y emplea GitHub como su servidor C2 inicial. A pesar de las similitudes con la APT CloudWizard informada en 2023, el código de malware de CloudSorcerer es completamente diferente, dijo Kaspersky, lo que sugiere que es un nuevo actor que utiliza un método similar para interactuar con los servicios de nube pública. Funcionamiento y técnicas de CloudSorcerer El malware opera decodificando comandos especiales utilizando una tabla de charcode codificada y aprovechando las interfaces de objetos COM de Microsoft para actividades maliciosas. Funciona como módulos separados (comunicación y recopilación de datos) según el proceso en el que se ejecuta, todos originados a partir de un único ejecutable. El malware comienza llamando a la función GetModuleFileNameA para identificar el proceso en el que se está ejecutando. Dependiendo del nombre del proceso, activa funciones específicas, como actuar como un módulo de puerta trasera o iniciar la comunicación C2. El shellcode de CloudSorcerer facilita la migración de procesos, utilizando métodos estándar para identificar las API de Windows necesarias e inyectando código en los procesos de destino. Lea más sobre la infraestructura C2 en amenazas cibernéticas: Los piratas informáticos implementan la herramienta de código abierto Sliver C2, reemplazando a Cobalt Strike, Metasploit El módulo de puerta trasera de CloudSorcerer recopila información del sistema como el nombre de la computadora, el nombre de usuario y el tiempo de actividad del sistema. Envía estos datos al módulo C2 a través de una tubería con nombre. La funcionalidad principal de la puerta trasera incluye varias operaciones, como recopilar información sobre los discos duros, ejecutar comandos de shell, administrar archivos e inyectar shellcode en los procesos. Las funcionalidades avanzadas adicionales se ejecutan en función de identificadores de comandos específicos, como crear o eliminar tareas, administrar servicios y realizar operaciones de red. El módulo C2 establece una conexión inicial con el servidor C2, comenzando con una página de GitHub, y alternativamente puede usar un servidor de alojamiento de fotos en my.mail.ru. Decodifica las cadenas hexadecimales que se encuentran en estas páginas para determinar qué servicio en la nube usar para las operaciones C2. Luego, el malware interactúa con los servicios en la nube, enviando y recibiendo datos hacia y desde el módulo de puerta trasera a través de subprocesos asincrónicos y tuberías de Windows. Indicadores de una sofisticada campaña de ciberespionaje Según Kaspersky, la infraestructura utilizada por CloudSorcerer indica una campaña de ciberespionaje bien planificada. La página de GitHub, creada el 7 de mayo de 2024, y el álbum de fotos my.mail.ru contienen cadenas codificadas esenciales para el funcionamiento del malware. «La capacidad del malware para adaptar dinámicamente su comportamiento en función del proceso en el que se ejecuta, junto con su uso de una comunicación compleja entre procesos a través de canales de Windows, resalta aún más su sofisticación», se lee en el aviso. «Si bien existen similitudes en el modus operandi con el APT CloudWizard informado anteriormente, las diferencias significativas en el código y la funcionalidad sugieren que es probable que CloudSorcerer sea un nuevo actor, posiblemente inspirado en técnicas anteriores pero que desarrolla sus propias herramientas únicas».