Поделиться
Группировка «Облачный атлас» атакует Россию через новую дыру в Microsoft Office
Группа Cloud Atlas атакует российские предприятия с помощью нового бэкдора, который эксплуатирует уязвимость в редакторе формул Microsoft Office, выявленную и исправленную ещё шесть лет назад.
Формула атаки
APT-группировка Cloud Atlas («Облачный атлас») начала применять в кибератаках ранее неизвестный бэкдор под названием VBCloud. Об этом сообщает «Лаборатория Касперского». Пока известно о нескольких десятках жертв, пострадавших на протяжении 2024 г. В большинстве своём жертвы располагаются в России.
«Заражения происходят с помощью фишинговых писем, содержащих вредоносный документ, который использует уязвимость в редакторе формул (CVE-2018-0802) для скачивания и выполнения вредоносного кода», - говорится в публикации SecureList.
При открытии документа с удаленного сервера, контролируемого злоумышленниками, загружается вредоносный шаблон в виде RTF-файла.
Он содержит эксплойт для редактора формул (Equation Editor), который, в свою очередь, скачивает и выполняет файл HTML Application (HTA), находящийся на том же контрольном сервере.
Скачивание RTF-шаблонов и HTA-файлов ограничено как по времени, так и по IP-адресам жертв: разрешаются запросы только из целевых регионов.
Вредоносный HTA-файл распаковывает и записывает на диск несколько файлов, каждый из которых - часть бэкдора VBShower. После этого VBShower скачивает и устанавливает другой бэкдор, PowerShower. Эта схема практически не меняется с 2019 года, - пишут исследователи.
Ранее PowerShower использовался для скачивания и запуска исполняемого файла - DLL-библиотеки, которая подгружала в память атакованной системы исполняемые модули. В том числе, плагин, предназначенный для вывода файлов с расширениями *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.rtf, *.jpg, *.jpeg.
Но теперь функции, сходные с теми, которые выполнял PowerShower, выполняет новый бэкдор VBCloud.
Шпионаж неизвестного происхождения
«Впервые мы обнаружили атаки с этим имплантом в августе прошлого года и с тех пор отмечаем множество различных модификаций бэкдора, позволяющих ему оставаться незамеченным. В новой кампании VBCloud загружается при помощи бэкдора VBShower, который также скачивает модуль PowerShower, - пишут исследователи. - PowerShower используется для исследования локальной сети и дальнейшего проникновения, а VBCloud - для сбора информации о текущей системе и кражи файлов».
Cloud Atlas (также известная как Clean Ursa, Inception, Oxygen и Red October) - группа, активная с 2014 г. Большинство её атак нацелены на страны Восточной Европы и Центральной Азии. В последние годы наиболее активно были атакованы цели в РФ, Беларуси и Приднестровье, причём в прошлом Cloud Atlas эксплуатировали другую уязвимость в Редакторе формул Microsoft - CVE-2017-11882.
«Обе уязвимости, как следует из их индексов, старые, и обе относятся к версиям Microsoft Office, датированным периодом между серединой двухтысячных и серединой 2010-х годов, - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Это может указывать, что операторы кампании хорошо знают, что именно эти пакеты используются в целевых организациях, и что их там обновляют настолько редко, чтобы уязвимости шести-семилетней давности оставались незакрытыми».
Эксперт добавила, что всё же это не позволяет однозначно установить принадлежность группы Cloud Atlas.
В ходе последней выявленной кампании, начавшейся в 2023 г., злоумышленники в основном атаковали цели в России - 80% жертв располагаются там. Остальные пострадавшие - это организации в Белоруссии, Канаде, Молдавии, Израиле, Киргизии, Турции и во Вьетнаме. Все атаки начинаются с фишинговых писем.
Поделиться
Короткая ссылка
