揭秘“云巫师”行动：一个跨越十五年的东欧间谍网络

来源：Analysis of the CloudWizard APT framework | Securelist

在网络安全领域，有些威胁组织如同幽灵，悄然潜伏，持续进化。近期，卡巴斯基实验室披露了一个此前未被公开的高级持续性威胁（APT）组织，其使用的攻击框架被命名为 CloudWizard。该组织的活动可追溯至2008年，其技术脉络与早已沉寂的“诱饵行动”（Operation Groundbait）和“虫洞行动”（Operation BugDrop）存在惊人关联。

CloudWizard并非一个新兴威胁，而是一个历经多年演进、从早期木马发展为模块化间谍平台的成熟框架。它主要针对乌克兰及东欧冲突地区的政府、外交与研究机构，利用云存储作为C2通信通道，展现出极强的隐蔽性与持久性。

本文将基于公开技术分析，对该组织的技术架构、攻击流程与历史渊源进行系统性梳理。

初始发现：一个名为“syncobjsup”的可疑服务

研究人员最初通过企业监控系统发现一台Windows设备上运行着一个名为 syncobjsup 的异常服务。该服务由位于 C:\ProgramData\Apparition Storage\ 目录下的DLL文件加载，行为极为可疑。

进一步分析发现，该DLL会读取同目录下的 mods.lrc 文件，并使用一种存在缺陷的RC5加密算法对其进行解密。其密钥为：

88 6A 3F 24 D3 08 A3 85 E6 21 28 45 77 13 D0 38

令人震惊的是，这种加密实现中的逻辑错误（在循环中误用变量 i 而非 j）与一段公开的GitHub代码片段完全一致。更关键的是，密钥也完全相同，表明攻击者直接复制了这段存在缺陷的公开代码。

解密后的 mods.lrc 实际上是一个虚拟文件系统（VFS），内含多个恶意模块及其JSON配置文件，构成了CloudWizard的核心组件库。

核心架构：模块化间谍框架

CloudWizard采用高度模块化设计，主控模块（Main.dll）负责协调所有子模块的运行。其工作流程如下：

1. 注入与启动：主控模块被加载后，会创建一个挂起状态的 WmiPrvSE.exe 进程，并将自身注入其中，实现隐蔽运行。

2. 备份配置：将原始的 mods.lrc 复制为 mods.lrs，作为运行时配置的持久化存储。

3. 加载模块：解析配置文件，动态加载所需的间谍模块。

4. 心跳通信：向攻击者发送包含受害者信息和已加载模块列表的心跳包。

心跳包内容（示例）

{
  "name": "03072020DD",
  "bitOS": "64",
  "version": "5.0",
  "state": ["Main", "Screenshot", "Keylogger", "Gmail"],
  "ip": "0.0.0.0"
}

攻击者通过响应心跳包，下发指令控制模块的安装、启动、停止或删除，实现完全远程操控。

通信与加密：以云为盾

CloudWizard最具特色的，是其以云存储为C2通道的通信机制。它优先使用以下三种云服务进行数据回传：

1. OneDrive（主通道）

2. Dropbox

3. Google Drive

当云服务不可用时，才会回退到传统的Web服务器。这种设计极大增加了检测难度，因为云流量在企业网络中极为常见。

加密机制

• 心跳与指令：使用AES加密，密钥由配置文件指定。

• 敏感数据（如截图、录音）：采用 AES + RSA 混合加密。数据先用随机生成的AES会话密钥加密，再用嵌入的RSA公钥加密该会话密钥，确保前向安全性。

研究人员还在网络模块中发现了一个关键线索：

D:\Projects\Work_2020\Soft_Version_5\Refactoring

这极可能是攻击者开发环境的路径，暗示其开发活动仍在持续。

恶意模块：全方位信息窃取

CloudWizard配备了多个功能强大的间谍模块，均通过标准导出函数（Start、Stop、GetResult等）进行管理。

核心模块功能

值得注意的是，Gmail模块的部分代码源自已泄露的“黑客团队”（Hacking Team）源码，显示出攻击者善于利用公开资源。

感染链：从NSIS安装包到持久化

研究人员追溯发现，CloudWizard的早期版本（v4.0）通过一个 NSIS打包的安装程序进行部署。该安装包运行后会：

1. 释放三个文件：

   • WinSubSvc.exe（主程序）

   • Depending.GRL（配置文件）

   • etwupd.dfg（加密模块）

2. 创建名为“Windows Subsystem Service”的系统服务，实现开机自启。

3. 显示“Well done!”提示，暗示其可能通过物理接触或伪装成系统工具进行部署。

版本演进对比

归因分析：与“诱饵行动”的深度关联

尽管CloudWizard此前未被公开，但其与2016年曝光的“诱饵行动”（Operation Groundbait）和2017年的“虫洞行动”（Operation BugDrop）存在大量技术重叠，强烈暗示三者为同一组织。

关键关联证据

1. 代码复用：

   • USB窃取模块均使用 IOCTL_STORAGE_QUERY_PROPERTY 获取设备信息，失败时返回 “undef”。

   • 截图模块均监控“Skype”和“Viber”窗口，且默认间隔为15分钟。

   • 文件枚举模块均使用相同的格式字符串：\t\t\t\t\t(%2.2u,%2.2u.%2.2u.%2.2u)\n。

2. 开发环境痕迹：

   • BugDrop与Prikormka的PDB路径均包含 D:\My\Projects_All\2016\iomus，显示同源开发。

3. ESET检测关联：

   • ESET已将CloudWizard v4.0的加载器识别为 Win32/Prikormka.CQ。

4. 受害者重叠：

   • 多个曾感染Prikormka的设备，后续被CloudWizard二次感染。

5. 云通信代码雷同：

   • CloudWizard与另一个APT框架 CommonMagic 的OneDrive通信代码完全一致，且使用相同的User-Agent：

     Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 ... Edge/12.1013

检测与防御建议

指标（IoCs）自查

已知哈希值

文件路径

1. C:\ProgramData\Apparition Storage\syncobjsup.dll

2. C:\ProgramData\Apparition Storage\mods.lrc

3. C:\ProgramData\Microsoft\WwanSvc\WinSubSvc.exe

服务名称

1. syncobjsup

2. Windows Subsystem Service

防御策略

1. 监控异常服务创建：尤其是名称可疑或路径非常规的服务。

2. 限制云存储使用：对OneDrive、Dropbox等服务的API调用进行审计。

3. 检测加密流量异常：关注使用特定User-Agent的HTTPS请求。

4. 终端检测（EDR）：监控 WmiPrvSE.exe 的异常注入行为。

5. 检查开发路径痕迹：如发现 D:\Projects\Work_2020\ 类路径，应高度警惕。

总结

“云巫师”行动揭示了一个长达十五年的间谍网络。它从早期的Prikormka木马起步，历经多次重构与升级，最终演变为一个以云为盾、模块化、高度自动化的间谍平台。

其与“诱饵行动”、“虫洞行动”的深度关联，表明某些APT组织即使在公开曝光后，也不会停止活动，而是转入更深的地下，持续进化。

这提醒我们，网络安全不仅是技术对抗，更是历史溯源与行为模式的长期追踪。那些看似已消失的威胁，可能只是换了一副面孔，仍在暗处窥视。