信息来源:CloudSorcerer APT uses cloud services and GitHub as C2 | Securelist (2024年7月8日)
在网络安全的棋局中,攻击者总在寻找新的藏身之处。2024年5月,卡巴斯基发现了一个全新的高级持续性威胁(APT)组织——CloudSorcerer(云术士),它不依赖传统的C2服务器,而是将GitHub、Microsoft OneDrive、Yandex Disk和Dropbox等主流云服务编织成一张隐形的指挥与控制(C2)网络。这一发现标志着APT攻击正式进入“无服务器间谍时代”。
一、神秘登场:专攻俄罗斯政府实体的“云上幽灵”
CloudSorcerer自2024年5月起活跃,其目标高度集中:俄罗斯政府机构及其承包商。该组织的攻击链始于典型的鱼叉式钓鱼邮件,但其后续操作完全摒弃了传统恶意基础设施。
其核心战术是:将云服务API作为通信协议,将合法账户作为C2节点。攻击者通过API密钥和OAuth令牌与云服务交互,实现命令下发、数据窃取与持久化控制,整个过程如同普通用户使用云盘,极难被防火墙或SIEM系统识别。
二、攻击链解析:从钓鱼到“云控”的全流程渗透
1. 初始感染:经典钓鱼,但载荷更隐蔽
- 攻击者发送伪装成政府公文或合同的钓鱼邮件;
- 附件为包含恶意脚本的ZIP或DOCX文件;
- 脚本下载并执行一个轻量级加载器,负责连接C2。
2. C2通信:GitHub作为“初始信标”
CloudSorcerer的C2架构分为两层:
- 第一层:GitHub私有仓库(初始C2)
恶意载荷会定期轮询一个GitHub私有仓库的Issues或Gists,从中获取加密指令。这种方式利用了HTTPS流量的普遍性,且GitHub的API调用难以被拦截。 - 第二层:云存储作为“数据外泄通道”
一旦窃取敏感文件,后门会将其加密后上传至攻击者控制的OneDrive、Yandex或Dropbox账户。上传路径、文件名均经过混淆,例如伪装成“backup_2024.zip”或“temp_log.dat”。
三、核心工具:CloudSorcerer后门的技术特征
该后门是一款高度定制化的**.NET编写的间谍工具**,具备以下关键功能:
| 云API集成 | 使用官方SDK连接GitHub、OneDrive等服务,支持OAuth 2.0认证 |
| 数据窃取 | 扫描本地磁盘,窃取.docx,.pdf,.xlsx,.pptx等办公文件 |
| 浏览器情报收集 | 读取Chrome、Firefox的登录数据、Cookies和历史记录 |
| 系统侦察 | 收集主机名、IP地址、域信息、已安装安全软件 |
| 反分析机制 | 检测沙箱、虚拟机环境,若发现则自毁 |
后门的所有配置(如云账户ID、API密钥、轮询间隔)均加密存储于注册表或本地文件,避免硬编码暴露。
四、归因分析:与CloudWizard相似,但代码独立
尽管CloudSorcerer的战术与2023年曝光的 CloudWizard APT组织高度相似——两者均滥用云服务进行C2通信——但卡巴斯基明确指出:
“CloudSorcerer的恶意代码与CloudWizard完全不同,我们认为这是一个全新的威胁实体,只是采用了类似的‘云隐身’策略。”
这一现象表明,利用公共云服务进行APT攻击已成为一种被广泛采纳的“最佳实践”,未来或将涌现更多“云基”威胁组织。
五、技术趋势:从“服务器依赖”到“服务滥用”的范式转移
CloudSorcerer的出现,揭示了APT攻击的三大演进趋势:
- C2基础设施“合法化”
攻击者不再租用VPS搭建C2服务器,而是滥用GitHub、Discord、Pastebin、Google Drive等合法平台,极大降低被封禁风险。 - 通信流量“隐身化”
所有C2通信均通过HTTPS API进行,与正常用户行为无异,传统基于IP/域名的黑名单机制失效。 - 攻击成本“平民化”
无需昂贵的零日漏洞或定制后门,只需注册几个免费云账户,即可构建一套高效间谍网络,门槛大幅降低。
六、防御建议:应对“云上幽灵”的五大策略
- 监控异常云服务API调用
部署UEBA(用户与实体行为分析)系统,检测非常规时间、频率或数据量的OneDrive/Dropbox上传行为。 - 限制对GitHub等开发平台的访问
在政府或高安全网络中,禁止或审计对GitHub私有仓库的API访问,尤其是/repos/*/issues和/gists接口。 - 启用应用级控制
使用EDR或ZTNA方案,阻止未授权应用调用云服务API。 - 加强OAuth权限审计
定期审查员工账户中授予第三方应用的云服务权限,撤销可疑授权。 - 部署内存与行为检测
CloudSorcerer后门虽小,但仍会注入进程或创建持久化任务,需依赖行为分析而非静态扫描。
结语:信任的代价
CloudSorcerer的案例再次证明:我们最信任的工具,往往成为敌人最锋利的武器。GitHub本是开发者协作的圣殿,OneDrive是便捷的存储服务,如今却被用作间谍网络的基石。
这场“云上战争”提醒我们,未来的网络安全不再只是防御漏洞,更是在合法服务中识别非法意图。防御者必须从“封IP”转向“识行为”,从“防恶意”转向“管权限”。
“他们不入侵你的网络,他们只是成为了你网络中的‘普通用户’。”
——来自对CloudSorcerer的深度观察