Janeiro 2, 2025
Rico Olivetti Tecnologia

Cloud Atlas implementa malware VBCloud: mais de 80% dos alvos encontrados na Rússia

O agente de ameaças conhecido como Cloud Atlas foi observado usando um malware não documentado anteriormente chamado VBCloud como parte de suas campanhas de ataque cibernético visando “várias dezenas de usuários” em 2024.

“As vítimas são infectadas por meio de e-mails de phishing contendo um documento malicioso que explora uma vulnerabilidade no editor de fórmulas (CVE-2018-0802) para baixar e executar código de malware”, disse o pesquisador da Kaspersky Oleg Kupreev em uma análise publicada esta semana.

Mais de 80% dos alvos estavam localizados na Rússia. Um número menor de vítimas foi relatado na Bielorrússia, Canadá, Moldávia, Israel, Quirguistão, Turquia e Vietnã.

Também conhecido como Clean Ursa, Inception, Oxygen e Red October, o Cloud Atlas é um cluster de atividades de ameaças não atribuídas que está ativo desde 2014. Em dezembro de 2022, o grupo foi vinculado a ataques cibernéticos direcionados à Rússia, Bielorrússia e Transnístria, que implantaram um backdoor baseado em PowerShell chamado PowerShower.

Exatamente um ano depois, a empresa russa de segurança cibernética FACCT revelou que várias entidades no país foram alvos de ataques de spear-phishing que exploraram uma antiga falha do Microsoft Office Equation Editor ( CVE-2017-11882 ) para lançar uma carga útil do Visual Basic Script (VBS) responsável por baixar um malware VBS de próximo estágio desconhecido.

O último relatório da Kaspersky revela que esses componentes fazem parte do que ela chama de VBShower, que é usado para baixar e instalar o PowerShower e o VBCloud.

O ponto de partida da cadeia de ataque é um e-mail de phishing que contém um documento do Microsoft Office com armadilha que, quando aberto, baixa um modelo malicioso formatado como um arquivo RTF de um servidor remoto. Em seguida, ele abusa do CVE-2018-0802 , outra falha no Equation Editor, para buscar e executar um arquivo HTML Application (HTA) hospedado no mesmo servidor.

“O exploit baixa o arquivo HTA por meio do modelo RTF e o executa”, disse Kupreev. “Ele aproveita o recurso de fluxos de dados alternativos (NTFS ADS) para extrair e criar vários arquivos em %APPDATA%\Roaming\Microsoft\Windows\. Esses arquivos compõem o backdoor do VBShower.”

Isso inclui um launcher, que atua como um carregador extraindo e executando o módulo backdoor na memória. O outro VB Script é um limpador que cuida de apagar o conteúdo de todos os arquivos dentro da pasta “\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\”, além daqueles dentro dele mesmo e do launcher, cobrindo assim as evidências da atividade maliciosa.

O backdoor VBShower foi projetado para recuperar mais cargas úteis VBS do servidor de comando e controle (C2) que vem com recursos para reinicializar o sistema; reunir informações sobre arquivos em várias pastas, nomes de processos em execução e tarefas do agendador; e instalar o PowerShower e o VBCloud.

O PowerShower é análogo ao VBShower em funcionalidade, a principal diferença é que ele baixa e executa scripts PowerShell de próximo estágio do servidor C2. Ele também é equipado para servir como um downloader para arquivos ZIP.

Até sete payloads do PowerShell foram observados pela Kaspersky. Cada um deles realiza uma tarefa distinta, como segue –

  • Obtenha uma lista de grupos locais e seus membros em computadores remotos por meio de Interfaces de Serviço do Active Directory (ADSI)
  • Realizar ataques de dicionário em contas de usuários
  • Descompacte o arquivo ZIP baixado pelo PowerShower e execute um script PowerShell contido nele para realizar um ataque Kerberoasting , que é uma técnica de pós-exploração para obter credenciais para contas do Active Directory
  • Obter uma lista de grupos de administradores
  • Obtenha uma lista de controladores de domínio
  • Obter informações sobre arquivos dentro da pasta ProgramData
  • Obtenha as configurações de política de conta e política de senha no computador local

O VBCloud também funciona muito como o VBShower, mas utiliza serviço de armazenamento em nuvem pública para comunicações C2. Ele é acionado por uma tarefa agendada toda vez que um usuário vítima faz login no sistema.

O malware é equipado para coletar informações sobre discos (letra da unidade, tipo de unidade, tipo de mídia, tamanho e espaço livre), metadados do sistema, arquivos e documentos correspondentes às extensões DOC, DOCX, XLS, XLSX, PDF, TXT, RTF e RAR, e arquivos relacionados ao aplicativo de mensagens Telegram.

“O PowerShower sonda a rede local e facilita a infiltração, enquanto o VBCloud coleta informações sobre o sistema e rouba arquivos”, disse Kupreev. “A cadeia de infecção consiste em vários estágios e, em última análise, visa roubar dados dos dispositivos das vítimas.”

Fonte: thehackernews.com