
Un nouveau groupe de menaces persistantes avancées (APT) nommé CloudSorcerer abuse des services de cloud public pour voler des données aux organisations gouvernementales russes lors d’attaques de cyberespionnage.
Les chercheurs en sécurité de Kaspersky ont découvert le groupe de cyberespionnage en mai 2024. Ils signalent que CloudSorcerer utilise des logiciels malveillants personnalisés qui utilisent des services cloud légitimes pour les opérations de commandement et de contrôle (C2) et le stockage des données.
Kaspersky note que le modus operandi de CloudSorcerer est similaire à celui de CloudWizard APT, mais que leurs logiciels malveillants sont distincts, ce qui amène les chercheurs en sécurité à penser qu’il s’agit d’un nouvel acteur de la menace.
Détails du logiciel malveillant CloudSorcerer
Bien que Kaspersky n’explique pas comment les auteurs de la menace violent initialement un réseau, ils disent qu’ils exécutent manuellement la porte dérobée Windows personnalisée.
Le malware a un comportement spécifique au processus en fonction de l’endroit où il a été injecté, qu’il détermine à l’aide de ‘GetModuleFileNameA.’
S’il est exécuté à partir de » mspaint.exe, » il agit comme une porte dérobée, collectant des données et exécutant du code. Cependant, s’il est lancé dans » msiexec.exe, » il initie d’abord la communication C2 pour recevoir les commandes à exécuter.
La communication initiale est une demande à un référentiel GitHub (au moment de la rédaction) qui contient une chaîne hexadécimale qui détermine le service cloud à utiliser pour d’autres opérations C2: Microsoft Graph, Yandex Cloud ou Dropbox.

Pour les processus qui ne correspondent à aucun comportement codé en dur, le logiciel malveillant injecte du shellcode dans le processus MSIexec, MSPaint ou Explorer et termine le processus initial.
Le shellcode analyse le bloc d’environnement de processus (PEB) pour identifier les décalages de DLL Windows core, identifie les API Windows requises à l’aide de l’algorithme ROR14 et mappe le code CloudSorcerer dans la mémoire des processus ciblés.
L’échange de données entre les modules est organisé via des canaux Windows pour une communication transparente entre les processus.
Le module de porte dérobée, qui effectue le vol de données, collecte des informations système telles que le nom de l’ordinateur, le nom d’utilisateur, Windows subversion et la disponibilité du système.
Il prend également en charge une gamme de commandes extraites du C2, notamment:
- Exécution de la commande Shell à l’aide de l’API ‘Shellexecuteex’
- Copier, déplacer, renommer ou supprimer des fichiers
- Recevez un shellcode du tube et injectez-le dans n’importe quel processus en allouant de la mémoire et en créant un nouveau thread dans un processus distant
- Recevez un fichier PE, créez une section et mappez-la dans le processus distant
- Créer un processus à l’aide d’interfaces COM
- Créer un processus en tant qu’utilisateur dédié
- Créer un nouveau service ou modifier un service existant
- Ajoutez de nouveaux utilisateurs réseau ou supprimez des utilisateurs légitimes du système
Dans l’ensemble, la porte dérobée Cloud Sorcerer est un outil puissant qui permet aux acteurs de la menace d’effectuer des actions malveillantes sur les machines infectées.
Kaspersky caractérise les attaques de Sorcier du Cloud comme hautement sophistiquées en raison de l’adaptation dynamique des logiciels malveillants et des mécanismes de communication de données secrets.
Les indicateurs de compromission (IoC) et les règles Yara pour détecter le malware Cloud Sorcerer sont disponibles au bas du rapport de Kaspersky.