文章分類

當前位置:首頁>文章中心>卡巴斯基實驗室>卡巴斯基發現針對俄羅斯政府實體的新APT組織

卡巴斯基發現針對俄羅斯政府實體的新APT組織

發布時間:2025-10-20 點擊數:751

卡巴斯基全球研究與分析團隊(GReAT)發現一個新的高級持續性威脅(APT)組織,名為CloudSorcerer,該組織一直在積極針對俄羅斯政府實體進行攻擊。這一複雜的網絡間諜工具利用雲服務和GitHub作為命令和控製(C2)服務器,與2023年報告的CloudWizard APT所使用的技術相似。


盡管與同被卡巴斯基發現的 CloudWizard 存在相似之處,但 CloudSorcerer 采用了獨特的代碼庫和功能,使其成為一個獨特的網絡威脅行為者。該組織利用公共雲基礎設施,包括微軟Graph、Yandex Cloud和Dropbox,作為其主要的命令和控製(C2)服務器。惡意軟件通過API與C2服務器交互,使用從看似合法的GitHub頁麵獲取認證令牌。


CloudSorcerer采用多階段攻擊策略。首先,攻擊者手動將惡意軟件部署到受害者的機器上。一旦獲得訪問權限,CloudSorcerer會根據其感染的進程調整其功能。例如,它在 mspaint.exe 中運行時的行為可能與在 msiexec.exe 中運行時不同。為了與命令和控製中心(C2)建立通信,CloudSorcerer從GitHub頁麵獲取詳細信息,其中可能包括雲存儲位置。最後,惡意軟件收集係統信息並使用所選雲服務的API將其泄露到指定的雲存儲中。


值得注意的是,CloudSorcerer采用複雜的混淆和加密技術來逃避檢測。它使用硬編碼的字符碼表解碼命令,並操縱Microsoft COM對象接口來執行其惡意操作。


Sergey Lozhkin

卡巴斯基全球研究與分析團隊(GReAT)首席網絡安全研究員



“CloudSorcerer debushutuchulejianggonggongyunfuwuyongyujiandiehuodongdefuzagongjifangshi,zhanshileweixiexingweizheruheliyongzhexiepingtailaiyinzangqihuodong。tongguojianghefadeyunfuwujichengdaoqicaozuozhong,zhexiexingweizhebujinzengqiangleqibubeifaxiandenengli,erqiehailiyonglezhexiepingtaideqiangdajichusheshilaiyouxiaodizhixingfuzadejiandiehuodong。womenzhengzaijinxingdeyanjiuqiangtiaolezaizhengfuheqiyewangluoanquanzhanlvezhongshibiehexiaochucileiyinbizhanshudezhongyaoxing。”


卡巴斯基將繼續監控和分析CloudSorcerer等網絡威脅,確保其網絡安全解決方案和威脅情報保持最新,以應對最新的挑戰。


要閱讀完整報告,請訪問Securelist.


為了避免成為已知或未知的威脅行為者發動的針對性攻擊的受害者,卡巴斯基研究人員建議采取以下措施:


  • 為您的SOC團隊提供對最新威脅情報(TI)的訪問。卡巴斯基威脅情報門戶網站是卡巴斯基威脅情報的一站式訪問點,提供卡巴斯基超過20年來收集的網絡攻擊數據以及見解。


  • 使用由GReAT專家開發的卡巴斯基在線培訓課程來提升您的網絡安全團隊對抗最新針對性威脅的能力。



  • 除了采用基礎端點保護之外,還應實施企業級安全解決方案,在早期階段檢測網絡層麵的高級威脅,例如卡巴斯基反針對性攻擊平台


  • 由於許多針對性的攻擊都始於網絡釣魚或其他社交工程技術,建議引入安全意識培訓並向團隊教授實用技能,例如通過卡巴斯基自動化安全意識平台進行培訓。


上一篇:卡巴斯基:自2023年以來DLL劫持攻擊數量已翻倍 下一篇:卡巴斯基與合作夥伴推出職業導向測試,激勵更多女性投身網絡安全領域