مجموعهای از حملات سایبری هدفمندی که دستگاههای سازمانهای دولتی و شرکتهای IT روسیه و ایالات متحده را هدف قرار دادهاند، به هکرهای چینی گروههای APT31 و APT 27 مرتبط هستند.
بنابر گزارش کسپرسکی که این کمپین را “EastWind” نامید، در این حملات از نسخه به روز شده درب پشتی CloudSorcerer استفاده شده است. آلودگی اولیه به ایمیلهای فیشینگ متکی است که حاوی پیوستهای آرشیو RAR هستند، که از بارگذاری جانبی DLL برای دراپ دربپشتی روی سیستم از Dropbox حین باز کردن سند جهت فریب استفاده میکنند.
دربپشتی قادر به پیمایش فایل سیستم، اجرای دستورات، استخراج دادهها یا ارائه payloadهای اضافی بر روی دستگاه در معرض خطر است. مهاجمان از درب پشتی برای توزیع تروجانی تحت عنوان “GrewApacha” استفاده کردهاند که با APT31 مرتبط است. در این حملات همچنین از ایمپلنت PlugY، و نسخه به روز شده CloudSorcerer با VMProtect برای فرار استفاده میشود.
https://securelist.ru/eastwind-apt-campaign/110020/
