СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:27
#ИБ

Cloud Atlas: эксплойт CVE-2018-0802, фишинг и комплекс бэкдоров

Cloud Atlas — хакерская группировка, действующая с 2014 года, которая в последние годы активизировала операции против организаций в России и Беларуси. Новый отчёт подробно описывает их многоэтапную цепочку заражения, ключевые бэкдоры и тактики, подтверждающие высокий уровень адаптивности и технологической зрелости коллектива.

«Cloud Atlas, хакерская группировка, действующая с 2014 года, сосредоточила свои атаки на Восточной Европе и Центральной Азии, в частности, на организациях в России и Беларуси.»

География и цели атак

Группа демонстрирует целенаправленную активность в следующих регионах и секторах:

  • Восточная Европа и Центральная Азия;
  • организации в России и Беларуси;
  • телекоммуникационный сектор и государственные учреждения.

Методика заражения: от фишинга до полноценного бэкдора

Атаки Cloud Atlas начинаются с классической социальной инженерии — фишинговых писем с вредоносными вложениями. Заражение выполняется по многоступенчатой цепочке:

  • пользователь открывает вредоносный DOCX-вложение;
  • в документе запускается загрузка удалённого файла шаблона;
  • в шаблоне формата RTF используется эксплойт CVE-2018-0802 в редакторе уравнений Microsoft Office;
  • эксплойт загружает и запускает HTML-приложение (HTA), которое разворачивает дальнейшую полезную нагрузку.

Эта последовательность подчёркивает умение группы комбинировать известные уязвимости с хорошо продуманной цепочкой доставки, минимизируя шансы обнаружения на ранних этапах.

Ключевые бэкдоры и инструменты

VBShower

VBShower — основной бэкдор, прошедший несколько модификаций. В последней итерации реализовано выполнение дополнительных VB-скриптов в текущем контексте независимо от размера полезной нагрузки — существенное изменение по сравнению с предыдущими версиями, которые накладывали ограничения по размеру.

Функциональность VBShower включает:

  • сбор информации о запущенных процессах;
  • проверка доступа к облачным сервисам;
  • чтение настроек системного прокси и попытки кражи учётных данных;
  • механизмы эксфильтрации данных и установка дополнительных имплантатов.

VBCloud

VBCloud отличается специфическим механизмом запуска: он использует зашифрованный скрипт «upgrade.mds», из которого извлекаются дополнительные команды для выполнения вредоносных скриптов. Такой подход повышает устойчивость к простым методам обнаружения и усложняет детальное динамическое исследование.

PowerShower

PowerShower обеспечивает взаимодействие с сервером command and control (C2) и выполнение дополнительных PowerShell-скриптов, закодированных в base64. Это даёт атакующим гибкость в динамической загрузке модулей и выполнении команд на скомпрометированной системе.

CloudAtlas (DLL Hijacking через VLC)

Особо сложный бэкдор CloudAtlas использует метод DLL Hijacking с применением легитимного медиаплеера VLC в роли загрузчика. Техника позволяет запускать произвольный код посредством вредоносных библиотек, которые управляют потоком выполнения.

Для CloudAtlas характерна модульность: группа разработала плагины, специализирующиеся на следующих задачах:

  • захват и передача файлов;
  • кража паролей из браузеров;
  • сбор детальной системной информации;
  • установка дополнительных модулей для расширения возможностей.

Пересечения функциональности и эволюция арсенала

Хотя некоторые функциональные возможности различных бэкдоров частично дублируются, Cloud Atlas последовательно расширяет свой арсенал. Комбинация VBShower, VBCloud, PowerShower и CloudAtlas позволяет группе гибко выбирать инструменты под конкретную цель и окружение жертвы.

Тактические особенности и тенденции

  • активное использование облачных сервисов для управления бэкдорами — заметная операционная тенденция;
  • адаптация механизмов запуска и методов обхода защиты (например, изменение политики выполнения VB-скриптов);
  • применение известных уязвимостей (CVE-2018-0802) в сочетании с многослойной цепочкой доставки;
  • целевой выбор секторов, где компрометация даёт стратегическое преимущество — телеком и госструктуры.

Вывод

Cloud Atlas демонстрирует высокий уровень профессионализма и эволюции инструментов: от отработанных механизмов фишинга до сложных модульных бэкдоров и использования DLL Hijacking через легитимные приложения. Зависимость от облачных сервисов и постоянное расширение функциональности указывают на стратегическое планирование кампаний и готовность к длительным операциями против выбранных целей.

Резюме: организации в прицеле Cloud Atlas должны учитывать многоступенчатые векторы доставки и модульность инструментов группы при формировании мер защиты, особенно в отношении фильтрации вложений DOCX/RTF/HTA, мониторинга запуска внешних шаблонов, контроля выполнения скриптов и обнаружения аномалий сетевого трафика к облачным сервисам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: