В мае 2024 года на российские госструктуры были атакованы неизвестными хакерами, использующими в ходе своих кибернападений новый инструмент под названием CloudSorcerer. Эксперты по информационной безопасности «Лаборатории Касперского» пояснили, что это мощный инструмент для проведения шпионских атак в цифровом пространстве.

Он используется злоумышленниками для того, чтобы скрытно наблюдать, собирать и красть конфиденциальные данные из IT-инфраструктуры целевых организаций с использованием популярных облачных платформ Microsoft Graph, Yandex Cloud и Dropbox.

Основной особенностью кибершпионского инструмента CloudSorcerer является то, что злоумышленники используют указанные выше облачные сервисы как командные серверы, с которыми вредоносное программное обеспечение взаимодействует с применением токенов аутентификации и API.

В «Лаборатории Касперского» рассказали, что инструмент CloudSorcerer очень напоминает вредоносное ПО, которое использовалось хакерской APT-группой CloudWizard ещё в 2023 году. Однако, несмотря на все сходства, новое вредоносное ПО имеет немного другой код, что свидетельствует о работе другой хакерской группировки, которая просто применяет примерно похожие методы взаимодействия с облачными сервисами в ходе организации кибератак.

Аналитики также сообщают, что при проведении кибератак с применением инструмента CloudSorcerer злоумышленники на первом этапе самостоятельно разворачивают вредоносное программное обеспечение на скомпрометированном пользовательском устройстве. После его запуска наблюдается адаптация возможностей инструмента CloudSorcerer в зависимости от настроек системы.

После этого вредоносное ПО активирует разные функции, в частности, начинает собирать, копировать и удалять данные, а затем инициирует запуск модуля связи с командным сервером и внедряет shell-код.

Сергей Ложкин, ведущий специалист по информационной безопасности «Лаборатории Касперского», рассказал, что в обнаруженной кибершпионской хакерской кампании CloudSorcerer злоумышленники изощрённо эксплуатируют популярные облачные платформы, чтобы шпионить за российскими госструктурами, скрывая при этом все совершаемые действия.

Ещё по теме: