En ny hotaktör har dykt upp på cybersäkerhetskartan. Gruppen kallar sig för CloudSorcerer och verkar fokusera attacker mot ryska myndigheter genom att utnyttja molntjänster för kommando-och-kontroll (C2) och dataexfiltrering.
Det skriver Kaspersky Lab, som först observerade gruppen i maj.
Kasbersky Lab skriver i sin rapport att gruppen använder sig av ett sofistikerat cyberspionageverktyg som används för övervakning, datainsamling och exfiltrering via Microsoft Graph, Yandex Cloud och Dropbox.
Nu rapporterar också Proofpoint att man upptäckte en cyberkampanj riktad mot en icke namngiven USA-baserad organisation, vars taktik verkar spegla den som används av CloudSorcerer.
Attacken, som observerades i slutet av maj 2024, sägs ha använt ett gratis e-postkonto, där man utger sig för att vara en välkänd amerikansk tankesmedja. Genom att locka med en falsk inbjudan till ett evenemang försöker man lura mottagare att ladda ned en zip-fil. Filen innehåller en mapp och tre så kallade LNK-filer, som i sin tur startar en kedja av skadlig aktivitet.
Hela processen visar på i stort sett exakt samma mönster som Kaspersky Lab rapporterar om.
Proofpoint-hotforskaren Greg Lesnewich säger till The Hacker News att de senaste observatioerna indikerar på att hotaktören använder sig av riktade nätfiskekampanjer för att infiltrera nätverk, även om möjligheten till andra leveransmetoder inte kan uteslutas. Primärt verkar man också rikta in sig på Windows-system.
Foto: WaveGenerics
