{"id":422,"date":"2025-01-02T08:36:00","date_gmt":"2025-01-02T08:36:00","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=422"},"modified":"2024-12-30T20:38:23","modified_gmt":"2024-12-30T20:38:23","slug":"cloud-atlas-implementa-malware-vbcloud-mais-de-80-dos-alvos-encontrados-na-russia","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/01\/02\/cloud-atlas-implementa-malware-vbcloud-mais-de-80-dos-alvos-encontrados-na-russia\/","title":{"rendered":"Cloud Atlas implementa malware VBCloud: mais de 80% dos alvos encontrados na R\u00fassia"},"content":{"rendered":"\n

O agente de amea\u00e7as conhecido como Cloud Atlas<\/strong> foi observado usando um malware n\u00e3o documentado anteriormente chamado VBCloud como parte de suas campanhas de ataque cibern\u00e9tico visando “v\u00e1rias dezenas de usu\u00e1rios” em 2024.<\/p>\n\n\n\n

“As v\u00edtimas s\u00e3o infectadas por meio de e-mails de phishing contendo um documento malicioso que explora uma vulnerabilidade no editor de f\u00f3rmulas (CVE-2018-0802) para baixar e executar c\u00f3digo de malware”, disse<\/a> o pesquisador da Kaspersky Oleg Kupreev em uma an\u00e1lise publicada esta semana.<\/p>\n\n\n\n

Mais de 80% dos alvos estavam localizados na R\u00fassia. Um n\u00famero menor de v\u00edtimas foi relatado na Bielorr\u00fassia, Canad\u00e1, Mold\u00e1via, Israel, Quirguist\u00e3o, Turquia e Vietn\u00e3.<\/p>\n\n\n\n

Tamb\u00e9m conhecido como Clean Ursa, Inception, Oxygen e Red October, o Cloud Atlas \u00e9 um cluster de atividades de amea\u00e7as n\u00e3o atribu\u00eddas<\/a> que est\u00e1 ativo desde 2014. Em dezembro de 2022, o grupo foi vinculado a ataques cibern\u00e9ticos direcionados \u00e0 R\u00fassia, Bielorr\u00fassia e Transn\u00edstria, que implantaram um backdoor baseado em PowerShell chamado PowerShower.<\/p>\n\n\n\n

Exatamente um ano depois, a empresa russa de seguran\u00e7a cibern\u00e9tica FACCT revelou<\/a> que v\u00e1rias entidades no pa\u00eds foram alvos de ataques de spear-phishing que exploraram uma antiga falha do Microsoft Office Equation Editor ( CVE-2017-11882<\/a> ) para lan\u00e7ar uma carga \u00fatil do Visual Basic Script (VBS) respons\u00e1vel por baixar um malware VBS de pr\u00f3ximo est\u00e1gio desconhecido.<\/p>\n\n\n\n

O \u00faltimo relat\u00f3rio da Kaspersky revela que esses componentes fazem parte do que ela chama de VBShower, que \u00e9 usado para baixar e instalar o PowerShower e o VBCloud.<\/p>\n\n\n\n

O ponto de partida da cadeia de ataque \u00e9 um e-mail de phishing que cont\u00e9m um documento do Microsoft Office com armadilha que, quando aberto, baixa um modelo malicioso formatado como um arquivo RTF de um servidor remoto. Em seguida, ele abusa do CVE-2018-0802<\/a> , outra falha no Equation Editor, para buscar e executar um arquivo HTML Application (HTA) hospedado no mesmo servidor.<\/p>\n\n\n\n

“O exploit baixa o arquivo HTA por meio do modelo RTF e o executa”, disse Kupreev. “Ele aproveita o recurso de fluxos de dados alternativos (NTFS ADS) para extrair e criar v\u00e1rios arquivos em %APPDATA%\\Roaming\\Microsoft\\Windows\\. Esses arquivos comp\u00f5em o backdoor do VBShower.”<\/p>\n\n\n\n

Isso inclui um launcher, que atua como um carregador extraindo e executando o m\u00f3dulo backdoor na mem\u00f3ria. O outro VB Script \u00e9 um limpador que cuida de apagar o conte\u00fado de todos os arquivos dentro da pasta “\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.Word\\”, al\u00e9m daqueles dentro dele mesmo e do launcher, cobrindo assim as evid\u00eancias da atividade maliciosa.<\/p>\n\n\n\n

\"\"\/<\/a><\/figure>\n\n\n\n

O backdoor VBShower foi projetado para recuperar mais cargas \u00fateis VBS do servidor de comando e controle (C2) que vem com recursos para reinicializar o sistema; reunir informa\u00e7\u00f5es sobre arquivos em v\u00e1rias pastas, nomes de processos em execu\u00e7\u00e3o e tarefas do agendador; e instalar o PowerShower e o VBCloud.<\/p>\n\n\n\n

O PowerShower \u00e9 an\u00e1logo ao VBShower em funcionalidade, a principal diferen\u00e7a \u00e9 que ele baixa e executa scripts PowerShell de pr\u00f3ximo est\u00e1gio do servidor C2. Ele tamb\u00e9m \u00e9 equipado para servir como um downloader para arquivos ZIP.<\/p>\n\n\n\n

At\u00e9 sete payloads do PowerShell foram observados pela Kaspersky. Cada um deles realiza uma tarefa distinta, como segue –<\/p>\n\n\n\n