Negli ultimi mesi, due nuove campagne di minacce avanzate persistenti (APT) sono state scoperte e dettagliate da ricercatori di sicurezza informatica. Questi attori, noti come CloudSorcerer e CloudWizard, utilizzano infrastrutture cloud per condurre operazioni di cyberespionaggio sofisticate, prendendo di mira principalmente enti governativi e organizzazioni in aree di conflitto.
CloudSorcerer: nuovo attore APT
CloudSorcerer è un nuovo APT scoperto a maggio 2024, che prende di mira entità governative russe. Utilizza strumenti di cyberespionaggio avanzati per il monitoraggio furtivo, la raccolta dati e l’esfiltrazione tramite infrastrutture cloud come Microsoft Graph, Yandex Cloud e Dropbox. Il malware impiega risorse cloud come server di comando e controllo (C2), accedendo tramite API con token di autenticazione.
Il malware CloudSorcerer opera in moduli separati (modulo di comunicazione, modulo di raccolta dati) a seconda del processo in cui viene eseguito. Tra le tecniche utilizzate vi sono l’iniezione di shellcode nei processi di sistema e la comunicazione attraverso named pipes di Windows. CloudSorcerer utilizza GitHub come primo server C2, scaricando pagine web che contengono comandi codificati da eseguire.
Le funzionalità principali includono:
- Raccolta di informazioni sul sistema della vittima.
- Esecuzione di comandi shell.
- Manipolazione di file (copia, spostamento, eliminazione).
- Iniezione di shellcode e PE file nei processi remoti.
Questa sofisticata infrastruttura consente a CloudSorcerer di operare in modo altamente furtivo e di esfiltrare dati sensibili senza essere rilevato.
CloudWizard: Campagna APT nel Conflitto Russo-Ucraino
CloudWizard, scoperto a marzo 2023, è una campagna APT che ha preso di mira sia individui che organizzazioni diplomatiche e di ricerca nelle regioni di Donetsk, Lugansk, Crimea, nonché in altre parti dell’Ucraina. Questo attore utilizza un framework modulare che comprende funzioni come screenshot, registrazione del microfono e keylogging.
La campagna CloudWizard coinvolge l’uso di moduli come PowerMagic e CommonMagic, e presenta caratteristiche comuni con operazioni precedenti come Operation Groundbait. Il malware impiega tecniche di crittografia avanzate per le comunicazioni, utilizzando RSA e AES per proteggere i dati scambiati con i server C2.
CloudWizard utilizza vari moduli per:
- Raccolta di file e registrazioni audio.
- Esecuzione di keylogger.
- Esecuzione di screenshot.
- Estrazione di informazioni da account Gmail.
Queste campagne scoperte da Kaspersky evidenziano l’evoluzione continua degli strumenti di cyberspionaggio utilizzati dagli attori APT nell’area di conflitto russo-ucraina.
Le campagne CloudSorcerer e CloudWizard dimostrano come gli attori APT stiano adottando tecniche sempre più sofisticate, sfruttando le infrastrutture cloud per le loro operazioni. Queste tecniche permettono un’elevata furtività e un’efficace esfiltrazione di dati sensibili. La continua evoluzione di queste minacce richiede un approccio proattivo e multistrato alla sicurezza informatica per proteggere le organizzazioni da questi attacchi avanzati.
