افشاگری: Cloud Atlas با بدافزار VBCloud روسیه را هدف قرار داده است!

به گزارش زوم تک از The Hacker News، عامل تهدید معروف به Cloud Atlas در حال استفاده از یک بدافزار جدید به نام VBCloud در کمپین‌های حمله سایبری خود است که “ده‌ها کاربر” را در سال ۲۰۲۴ هدف قرار داده است.

محقق کسپرسکی، اولگ کوپریو، در تحلیلی که این هفته منتشر شد، گفت: “قربانیان از طریق ایمیل‌های فیشینگ حاوی یک سند مخرب که از یک آسیب‌پذیری در ویرایشگر فرمول (CVE-2018-0802) برای دانلود و اجرای کد بدافزار سوء استفاده می‌کند، آلوده می‌شوند.”

بیش از ۸۰٪ اهداف در روسیه قرار داشتند. تعداد کمتری از قربانیان از بلاروس، کانادا، مولداوی، اسرائیل، قرقیزستان، ترکیه و ویتنام گزارش شده است.

Cloud Atlas که با نام‌های Clean Ursa، Inception، Oxygen و Red October نیز شناخته می‌شود، یک گروه تهدید فعال از سال ۲۰۱۴ است. در دسامبر ۲۰۲۲، این گروه به حملات سایبری با هدف قرار دادن روسیه، بلاروس و ترانسنیستریا مرتبط بود که یک درب پشتی مبتنی بر PowerShell به نام PowerShower را مستقر کرد.

سپس دقیقاً یک سال بعد، شرکت امنیت سایبری روسی F.A.C.C.T. فاش کرد که نهادهای مختلف در این کشور توسط حملات فیشینگ هدفمند مورد هدف قرار گرفتند که از یک نقص قدیمی ویرایشگر معادلات مایکروسافت آفیس (CVE-2017-11882) برای رها کردن یک محموله Visual Basic Script (VBS) مسئول دانلود یک بدافزار VBS مرحله بعدی ناشناخته سوء استفاده کردند.

آخرین گزارش کسپرسکی نشان می‌دهد که این اجزا بخشی از آنچه VBShower می‌نامد هستند که سپس برای دانلود و نصب PowerShower و همچنین VBCloud استفاده می‌شود.

نقطه شروع زنجیره حمله یک ایمیل فیشینگ است که حاوی یک سند مایکروسافت آفیس به دام افتاده است که هنگام باز شدن، یک قالب مخرب با فرمت فایل RTF را از یک سرور از راه دور دانلود می‌کند. سپس از CVE-2018-0802، یکی دیگر از نواقص در ویرایشگر معادلات، برای دریافت و اجرای یک فایل HTML Application (HTA) میزبانی شده در همان سرور سوء استفاده می‌کند.

کوپریو گفت: “این اکسپلویت فایل HTA را از طریق قالب RTF دانلود می‌کند و آن را اجرا می‌کند. از ویژگی جریان‌های داده جایگزین (NTFS ADS) برای استخراج و ایجاد چندین فایل در %APPDATA%\Roaming\Microsoft\Windows\ استفاده می‌کند. این فایل‌ها درب پشتی VBShower را تشکیل می‌دهند.”

این شامل یک راه‌انداز است که با استخراج و اجرای ماژول درب پشتی در حافظه به عنوان یک لودر عمل می‌کند. VB Script دیگر یک پاک کننده است که مراقب پاک کردن محتوای همه فایل‌های داخل پوشه “\Local\Microsoft\Windows\Temporary Internet Files\Content.Word” و همچنین فایل‌های داخل خود و راه‌انداز است، در نتیجه شواهد فعالیت مخرب را پنهان می‌کند.

درب پشتی VBShower برای بازیابی محموله‌های VBS بیشتر از سرور فرماندهی و کنترل (C2) طراحی شده است که با قابلیت‌هایی برای راه‌اندازی مجدد سیستم همراه است. جمع‌آوری اطلاعات در مورد فایل‌ها در پوشه‌های مختلف، نام فرآیندهای در حال اجرا و وظایف زمان‌بندی کننده. و نصب PowerShower و VBCloud.

PowerShower از نظر عملکرد شبیه VBShower است، تفاوت اصلی این است که اسکریپت‌های PowerShell مرحله بعدی را از سرور C2 دانلود و اجرا می‌کند. همچنین برای دانلود فایل‌های آرشیو ZIP مجهز است.

کسپرسکی حداقل هفت محموله PowerShell را مشاهده کرده است. هر یک از آنها یک وظیفه متمایز را به شرح زیر انجام می‌دهند:

دریافت لیستی از گروه‌های محلی و اعضای آنها در کامپیوترهای از راه دور از طریق Active Directory Service Interfaces (ADSI)

انجام حملات دیکشنری روی حساب‌های کاربری

باز کردن بسته آرشیو ZIP دانلود شده توسط PowerShower و اجرای یک اسکریپت PowerShell موجود در آن به منظور انجام حمله Kerberoasting، که یک تکنیک پس از بهره‌برداری برای به دست آوردن اعتبارنامه برای حساب‌های Active Directory است.

دریافت لیستی از گروه‌های مدیر

دریافت لیستی از کنترل کننده‌های دامنه

دریافت اطلاعات در مورد فایل‌های داخل پوشه ProgramData

دریافت تنظیمات سیاست حساب و سیاست رمز عبور در کامپیوتر محلی

VBCloud همچنین بسیار شبیه VBShower عمل می‌کند، اما از سرویس ذخیره‌سازی ابری عمومی برای ارتباطات C2 استفاده می‌کند. هر بار که کاربر قربانی وارد سیستم می‌شود، توسط یک وظیفه زمان‌بندی شده فعال می‌شود.

این بدافزار برای جمع‌آوری اطلاعات در مورد دیسک‌ها (حرف درایو، نوع درایو، نوع رسانه، اندازه و فضای خالی)، فراداده سیستم، فایل‌ها و اسناد مطابق با پسوندهای DOC، DOCX، XLS، XLSX، PDF، TXT، RTF و RAR و فایل‌های مربوط به برنامه پیام‌رسان تلگرام مجهز است.

کوپریو گفت: “PowerShower شبکه محلی را بررسی می‌کند و نفوذ بیشتر را تسهیل می‌کند، در حالی که VBCloud اطلاعات مربوط به سیستم را جمع‌آوری می‌کند و فایل‌ها را می‌دزدد. زنجیره عفونت شامل چندین مرحله است و در نهایت با هدف سرقت داده‌ها از دستگاه‌های قربانیان انجام می‌شود.”