De bedreigingsacteur waarnaar wordt verwezen als Wolkenatlas is in verband gebracht met een reeks spearphishing-aanvallen op Russische bedrijven.
Doelwitten waren onder meer een Russische agro-industriële onderneming en een staatsonderzoeksbedrijf, volgens een rapport van FACCT, een op zichzelf staand cyberbeveiligingsbedrijf dat werd opgericht na de formele exit van Group-IB uit Rusland eerder dit jaar.
Cloud Atlas, actief sinds minstens 2014, is een cyberspionagegroep van onbekende oorsprong. De dreigingsactor, ook wel Clean Ursa, Inception, Oxygen en Red October genoemd, staat bekend om zijn aanhoudende campagnes gericht op Rusland, Wit-Rusland, Azerbeidzjan, Turkije en Slovenië.
In december 2022 hebben Check Point en Positive Technologies aanvalsreeksen in meerdere fasen gedetailleerd die hebben geleid tot de inzet van een op PowerShell gebaseerde achterdeur, PowerShower genaamd, en tot DLL-payloads die kunnen communiceren met een door een actor bestuurde server.
Het startpunt is een phishing-bericht met daarin een lokdocument dat misbruik maakt van CVE-2017-11882, een zes jaar oude geheugencorruptiefout in de Equation Editor van Microsoft Office, om de uitvoering van kwaadaardige payloads een impuls te geven, een techniek die Cloud Atlas heeft toegepast al in oktober 2018.
“De enorme spearphishing-campagnes van de acteur blijven zijn eenvoudige maar effectieve methoden gebruiken om zijn doelen in gevaar te brengen”, merkte Kaspersky op in augustus 2019. “In tegenstelling tot veel andere inbraaksets heeft Cloud Atlas er niet voor gekozen om open source-implantaten te gebruiken tijdens zijn campagnes. recente campagnes, om minder discriminerend te zijn.”
FACCT beschreef de nieuwste kill-keten als vergelijkbaar met die beschreven door Positive Technologies, waarbij succesvolle exploitatie van CVE-2017-11882 via RTF-sjablooninjectie de weg vrijmaakt voor shellcode die verantwoordelijk is voor het downloaden en uitvoeren van een versluierd HTA-bestand. De mails zijn afkomstig van de populaire Russische e-maildiensten Yandex Mail en VK’s Mail.ru.
De kwaadaardige HTML-applicatie start vervolgens Visual Basic Script (VBS)-bestanden die uiteindelijk verantwoordelijk zijn voor het ophalen en uitvoeren van een onbekende VBS-code van een externe server.
“De Cloud Atlas-groep is al vele jaren actief en heeft elk aspect van hun aanvallen zorgvuldig doordacht”, zei Positive Technologies vorig jaar over de groep.
“De toolkit van de groep is al jaren niet veranderd: ze proberen hun malware voor onderzoekers te verbergen door eenmalige payload-verzoeken te gebruiken en deze te valideren. De groep vermijdt tools voor het detecteren van netwerk- en bestandsaanvallen door gebruik te maken van legitieme cloudopslag en goed gedocumenteerde softwarefuncties. vooral in Microsoft Office.”
De ontwikkeling komt op het moment dat het bedrijf zei dat ten minste twintig organisaties in Rusland zijn gecompromitteerd met behulp van Decoy Dog, een aangepaste versie van Pupy RAT, en dat dit wordt toegeschreven aan een geavanceerde aanhoudende bedreigingsacteur die Hellhounds wordt genoemd.
De actief onderhouden malware stelt de tegenstander niet alleen in staat de geïnfecteerde host op afstand te controleren, maar wordt ook geleverd met een scriptlet dat is ontworpen om telemetriegegevens te verzenden naar een “geautomatiseerde” account op Mastodon met de naam “Lamir Hasabat” (@lahat) op de Mindly.Social-instantie .
“Nadat materiaal over de eerste versie van Decoy Dog was gepubliceerd, hebben de auteurs van de malware veel moeite gedaan om de detectie en analyse ervan zowel in het verkeer als in het bestandssysteem te belemmeren”, aldus beveiligingsonderzoekers Stanislav Pyzhov en Aleksandr Grigorian.
