Η προηγμένη ομάδα επίμονων απειλών Cloud Atlas συνέχισε την εξελιγμένη καμπάνια της που στοχεύει οργανισμούς σε ολόκληρη την Ανατολική Ευρώπη και την Κεντρική Ασία κατά το πρώτο εξάμηνο του 2025, αξιοποιώντας ξεπερασμένες ευπάθειες του Microsoft Office για την παροχή πολλαπλών εμφυτευμάτων backdoor.
Αυτή η καμπάνια αποκαλύπτει μια συντονισμένη προσπάθεια για τη δημιουργία μόνιμης πρόσβασης και την εξαγωγή ευαίσθητων δεδομένων από στόχους υψηλής αξίας.
Η Cloud Atlas, γνωστός παράγοντας απειλών από το 2014, έχει επιδείξει επίμονη επιχειρησιακή δραστηριότητα βελτιώνοντας τη μεθοδολογία επιθέσεων και επεκτείνοντας την εργαλειοθήκη της.
Η υποδομή της ομάδας ξεκινά συνήθως με μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα έγγραφα που εκμεταλλεύονται το CVE-2018-0802, μια ευπάθεια στον Επεξεργαστή Εξισώσεων του Microsoft Office.
Μόλις ένα θύμα ανοίξει το αρχείο που έχει παραβιαστεί, μια σειρά από στοιχεία κακόβουλου λογισμικού κατεβαίνουν και εκτελούνται σε μια προσεκτικά ενορχηστρωμένη αλυσίδα μόλυνσης.
.w.jpeg "Cloud Atlas Hacker Group που εκμεταλλεύεται ευπάθειες του γραφείου για την εκτέλεση κακόβουλου κώδικα")
Securelist αναλυτές αναγνωρισθείς ότι η διαδικασία μόλυνσης ξεκινά όταν οι χρήστες ανοίγουν ένα έγγραφο του Word που περιέχει ένα κακόβουλο πρότυπο που παραδίδεται από διακομιστές που ελέγχονται από εισβολείς.
Το έγγραφο φορτώνει ένα αρχείο RTF που διαθέτει ένα exploit για τον Επεξεργαστή Εξισώσεων, το οποίο στη συνέχεια κατεβάζει και εκτελεί ένα αρχείο εφαρμογής HTML.
Αυτό το αρχικό ωφέλιμο φορτίο εξάγει πολλαπλά αρχεία VBS στο σύστημα προορισμού, θέτοντας τα θεμέλια για την ανάπτυξη πρόσθετων κερκόπορτων, συμπεριλαμβανομένων των VBShower, PowerShower, VBCloud και CloudAtlas. Κάθε στοιχείο εξυπηρετεί συγκεκριμένες λειτουργίες εντός της συνολικής υποδομής επίθεσης.
Το οπλοστάσιο της ομάδας απειλής επιδεικνύει σημαντική πολυπλοκότητα στις τεχνικές φοροδιαφυγής και επιμονής.
Η κερκόπορτα VBShower, η οποία λειτουργεί ως το κύριο στοιχείο εκκίνησης, μπορεί να εκτελέσει ληφθέντα σενάρια VB ανεξάρτητα από το μέγεθος του αρχείου, επιτρέποντας στους χειριστές να αναπτύσσουν ευέλικτα διάφορα ωφέλιμα φορτία.
Οι ερευνητές του Securelist παρατήρησαν ότι η κερκόπορτα επικοινωνεί με διακομιστές εντολών για την ανάκτηση και εκτέλεση πρόσθετων σεναρίων, συμπεριλαμβανομένων εξειδικευμένων εργαλείων σχεδιασμένων για εξαγωγή αρχείων, απαρίθμηση συστήματος και συλλογή διαπιστευτηρίων.
Μηχανισμός μόλυνσης και τακτικές επιμονής
Το εμφύτευμα VBCloud αντιπροσωπεύει ένα κρίσιμο στοιχείο στην επιχειρησιακή ικανότητα του Cloud Atlas. Λειτουργώντας παράλληλα με ένα σενάριο εκκίνησης, το VBCloud διατηρεί κρυπτογραφημένη επικοινωνία με τον διακομιστή εντολών μέσω υποδομής που βασίζεται σε σύννεφο.
Το πρόγραμμα εκκίνησης διαβάζει κρυπτογραφημένα δεδομένα ωφέλιμου φορτίου από τοπικά αρχεία, εφαρμόζει αποκρυπτογράφηση RC4 με ενσωματωμένα κλειδιά και εκτελεί το αποκρυπτογραφημένο περιεχόμενο.
.webp.jpeg "Cloud Atlas Hacker Group που εκμεταλλεύεται ευπάθειες του γραφείου για την εκτέλεση κακόβουλου κώδικα")
Συγκεκριμένα, αυτή η υλοποίηση χρησιμοποιεί τον αλγόριθμο PRGA εντός του RC4, μια τεχνική επιλογή σχετικά ασυνήθιστη σε κακόβουλο λογισμικό, υποδηλώνοντας υψηλότερο επίπεδο λειτουργικής ωριμότητας.
Ο μηχανισμός επιμονής ενσωματώνει το Windows Task Scheduler για να διατηρεί την πρόσβαση σε όλες τις επανεκκινήσεις του συστήματος.
Το κακόβουλο λογισμικό δημιουργεί προγραμματισμένες εργασίες με ονόματα που μιμούνται νόμιμες υπηρεσίες συστήματος, όπως «MicrosoftEdgeUpdateTask» και «MicrosoftVLCTaskMachine».
Αυτές οι εργασίες εκτελούν σενάρια VBS σε τακτά χρονικά διαστήματα, διασφαλίζοντας ότι το κακόβουλο λογισμικό παραμένει λειτουργικό ακόμα και μετά την επανεκκίνηση του συστήματος.
Οι λειτουργίες αρχείων περιλαμβάνουν προσεκτική χρήση των καταλόγων %Public% και %LOCALAPPDATA%, με το κακόβουλο λογισμικό να δημιουργεί κρυφή υποδομή μέσω μετονομασμένων αρχείων και κρυπτογραφημένων ωφέλιμων φορτίων.
Το CloudAtlas, η κερκόπορτα τελικού σταδίου, επικοινωνεί μέσω πρωτοκόλλων WebDAV με υπηρεσίες cloud, συμπεριλαμβανομένου του OpenDrive, δημιουργώντας κρυπτογραφημένα κανάλια εντολών που συνδυάζονται με τη νόμιμη κυκλοφορία cloud.
Το backdoor δημιουργεί καταλόγους χρησιμοποιώντας μεθόδους HTTP MKCOL και ανακτά ωφέλιμα φορτία μέσω αιτημάτων PROPFIND.
Οι χειριστές μπορούν να αναπτύξουν μονάδες προσθηκών για εξειδικευμένες λειτουργίες, όπως η αρπαγή αρχείων, η κλοπή κωδικού πρόσβασης από προγράμματα περιήγησης και η συλλογή πληροφοριών συστήματος.
Η προσθήκη FileGrabber στοχεύει έγγραφα με συγκεκριμένες επεκτάσεις όπως DOC, DOCX, XLS, XLSX και PDF, ενώ φιλτράρει αρχεία με βάση το μέγεθος, την ημερομηνία τροποποίησης και τις εξαιρέσεις διαδρομής.
Η εκστρατεία καταδεικνύει τη στόχευση διαφορετικών τομέων, συμπεριλαμβανομένων των τηλεπικοινωνιών, των κατασκευών, των κυβερνητικών φορέων και των βιομηχανικών εγκαταστάσεων σε όλη τη Ρωσία και τη Λευκορωσία.
Οι οργανισμοί αντιμετωπίζουν σημαντικό κίνδυνο από τη διαδικασία μόλυνσης πολλαπλών σταδίων και τις ισχυρές δυνατότητες μετά την εκμετάλλευση αυτής της εξελιγμένης ομάδας απειλών.
Related Posts
Το China-Nexus APT Group αξιοποιεί την τεχνική πλευρικής φόρτωσης DLL για να επιτεθεί σε τομείς της κυβέρνησης και των μέσων ενημέρωσης
Οι χάκερ MuddyWater χρησιμοποιούν το UDPGangster Backdoor για να επιτεθούν σε συστήματα Windows αποφεύγοντας τις άμυνες δικτύου
APT-C-08 χάκερ που εκμεταλλεύονται την ευπάθεια του WinRAR για να επιτεθούν σε κυβερνητικούς οργανισμούς
