Meer dan 80% van de doelwitten gevonden in Rusland

De bedreigingsacteur bekend als Wolkenatlas Er is waargenomen dat het een voorheen ongedocumenteerde malware genaamd VBCloud gebruikte als onderdeel van zijn cyberaanvalcampagnes gericht op “enkele tientallen gebruikers” in 2024.

“Slachtoffers raken geïnfecteerd via phishing-e-mails die een kwaadaardig document bevatten dat misbruik maakt van een kwetsbaarheid in de formule-editor (CVE-2018-0802) om malwarecode te downloaden en uit te voeren”, zei Kaspersky-onderzoeker Oleg Kupreev in een analyse die deze week werd gepubliceerd.

Meer dan 80% van de doelwitten bevond zich in Rusland. Een kleiner aantal slachtoffers is gemeld uit Wit-Rusland, Canada, Moldavië, Israël, Kirgizië, Turkije en Vietnam.

Cloud Atlas, ook wel Clean Ursa, Inception, Oxygen en Red October genoemd, is een niet-toegeschreven dreigingsactiviteitencluster dat actief is sinds 2014. In december 2022 werd de groep in verband gebracht met cyberaanvallen gericht op Rusland, Wit-Rusland en Transnistrië. heeft een op PowerShell gebaseerde achterdeur geïmplementeerd genaamd PowerShower.

Precies een jaar later onthulde het Russische cyberbeveiligingsbedrijf FACCT dat verschillende entiteiten in het land het doelwit waren van spearphishing-aanvallen die misbruik maakten van een oude Microsoft Office Equation Editor-fout (CVE-2017-11882) om een ​​Visual Basic Script (VBS)-payload te laten vallen. verantwoordelijk voor het downloaden van een onbekende VBS-malware in de volgende fase.

Uit het laatste rapport van Kaspersky blijkt dat deze componenten deel uitmaken van wat het VBShower noemt, dat vervolgens wordt gebruikt om zowel PowerShower als VBCloud te downloaden en te installeren.

Het startpunt van de aanvalsketen is een phishing-e-mail die een Microsoft Office-document met boobytraps bevat dat, wanneer het wordt geopend, een kwaadaardige sjabloon downloadt die is geformatteerd als een RTF-bestand van een externe server. Vervolgens wordt misbruik gemaakt van CVE-2018-0802, een andere fout in de Vergelijkingseditor, om een ​​HTML-toepassingsbestand (HTA) op te halen en uit te voeren dat op dezelfde server wordt gehost.

“De exploit downloadt het HTA-bestand via de RTF-sjabloon en voert het uit”, zei Kupreev. “Het maakt gebruik van de functie voor alternatieve datastromen (NTFS ADS) om verschillende bestanden te extraheren en te creëren op %APPDATA%RoamingMicrosoftWindows. Deze bestanden vormen de achterdeur van VBShower.”

Dit omvat een opstartprogramma, dat fungeert als een lader door de achterdeurmodule uit het geheugen te extraheren en uit te voeren. Het andere VB-script is een opschoonprogramma dat ervoor zorgt dat de inhoud van alle bestanden in de map “LocalMicrosoftWindowsTemporary Internet FilesContent.Word” wordt gewist, naast de bestanden in zichzelf en in het opstartprogramma, waardoor bewijs van de kwaadaardige activiteit.

De VBShower-achterdeur is ontworpen om meer VBS-payloads op te halen van de command-and-control (C2)-server die wordt geleverd met mogelijkheden om het systeem opnieuw op te starten; informatie verzamelen over bestanden in verschillende mappen, namen van actieve processen en planningstaken; en installeer PowerShower en VBCloud.

PowerShower is qua functionaliteit analoog aan VBShower, met als belangrijkste verschil dat het PowerShell-scripts van de volgende fase downloadt en uitvoert vanaf de C2-server. Het is ook uitgerust om te dienen als downloader voor ZIP-archiefbestanden.

Kaspersky heeft maar liefst zeven PowerShell-payloads waargenomen. Elk van hen voert als volgt een afzonderlijke taak uit:

  • Krijg een lijst met lokale groepen en hun leden op externe computers via Active Directory Service Interfaces (ADSI)
  • Voer woordenboekaanvallen uit op gebruikersaccounts
  • Pak het door PowerShower gedownloade ZIP-archief uit en voer een daarin opgenomen PowerShell-script uit om een ​​Kerberoasting-aanval uit te voeren, wat een post-exploitatietechniek is voor het verkrijgen van inloggegevens voor Active Directory-accounts
  • Een lijst met beheerdersgroepen ophalen
  • Een lijst met domeincontrollers ophalen
  • Krijg informatie over bestanden in de map ProgramData
  • Haal het accountbeleid en de wachtwoordbeleidsinstellingen op de lokale computer op

VBCloud functioneert ook veel als VBShower, maar maakt gebruik van een openbare cloudopslagservice voor C2-communicatie. Het wordt geactiveerd door een geplande taak telkens wanneer een slachtoffergebruiker zich aanmeldt bij het systeem.

De malware is uitgerust om informatie te verzamelen over schijven (stationsletter, stationstype, mediatype, grootte en vrije ruimte), systeemmetagegevens, bestanden en documenten die overeenkomen met de extensies DOC, DOCX, XLS, XLSX, PDF, TXT, RTF en RAR en bestanden gerelateerd aan de Telegram-berichtenapp.

“PowerShower onderzoekt het lokale netwerk en faciliteert verdere infiltratie, terwijl VBCloud informatie over het systeem verzamelt en bestanden steelt”, aldus Kupreev. “De infectieketen bestaat uit verschillende fasen en heeft uiteindelijk tot doel gegevens van de apparaten van slachtoffers te stelen.”

Thijs Van der Does