El actor de amenazas conocido como Atlas de nubes Se ha observado que utiliza un malware previamente no documentado llamado VBCloud como parte de sus campañas de ciberataques dirigidas a “varias docenas de usuarios” en 2024.
“Las víctimas se infectan a través de correos electrónicos de phishing que contienen un documento malicioso que aprovecha una vulnerabilidad en el editor de fórmulas (CVE-2018-0802) para descargar y ejecutar código malicioso”, afirma Oleg Kupreev, investigador de Kaspersky. dicho en un análisis publicado esta semana.
Más del 80% de los objetivos estaban ubicados en Rusia. Se ha informado de un número menor de víctimas en Bielorrusia, Canadá, Moldavia, Israel, Kirguistán, Turquía y Vietnam.
Cloud Atlas, también conocido como Clean Ursa, Inception, Oxygen y Red October, es un grupo de actividad de amenazas no atribuido que ha estado activo desde 2014. En diciembre de 2022, el grupo estuvo vinculado a ataques cibernéticos dirigidos a Rusia, Bielorrusia y Transnistria que implementó una puerta trasera basada en PowerShell llamada PowerShower.
Luego, exactamente un año después, la empresa rusa de ciberseguridad FACCT reveló que varias entidades del país fueron objeto de ataques de phishing que explotaban una antigua falla del editor de ecuaciones de Microsoft Office (CVE-2017-11882) para soltar una carga útil de Visual Basic Script (VBS) responsable de descargar un malware VBS de siguiente etapa desconocido.
El último informe de Kaspersky revela que estos componentes son parte de lo que llama VBShower, que luego se utiliza para descargar e instalar PowerShower y VBCloud.
El punto de partida de la cadena de ataque es un correo electrónico de phishing que contiene un documento de Microsoft Office con trampa explosiva que, cuando se abre, descarga una plantilla maliciosa formateada como un archivo RTF desde un servidor remoto. Luego abusa CVE-2018-0802otra falla en el Editor de ecuaciones, para buscar y ejecutar un archivo de aplicación HTML (HTA) alojado en el mismo servidor.
“El exploit descarga el archivo HTA a través de la plantilla RTF y lo ejecuta”, dijo Kupreev. “Aprovecha la función de flujos de datos alternativos (NTFS ADS) para extraer y crear varios archivos en %APPDATA%RoamingMicrosoftWindows. Estos archivos constituyen la puerta trasera VBShower”.
Esto incluye un iniciador, que actúa como un cargador extrayendo y ejecutando el módulo de puerta trasera en la memoria. El otro VB Script es un limpiador que se preocupa por borrar el contenido de todos los archivos dentro de la carpeta “LocalMicrosoftWindowsTemporary Internet FilesContent.Word”, además de los que están dentro de sí mismo y del iniciador, cubriendo así evidencia de la actividad maliciosa.
La puerta trasera VBShower está diseñada para recuperar más cargas útiles de VBS del servidor de comando y control (C2) que viene con capacidades para reiniciar el sistema; recopilar información sobre archivos en varias carpetas, nombres de procesos en ejecución y tareas del programador; e instale PowerShower y VBCloud.
PowerShower es análogo a VBShower en funcionalidad, la principal diferencia es que descarga y ejecuta scripts de PowerShell de la siguiente etapa desde el servidor C2. También está equipado para servir como descargador de archivos ZIP.
Kaspersky ha observado hasta siete cargas útiles de PowerShell. Cada uno de ellos lleva a cabo una tarea distinta de la siguiente manera:
- Obtenga una lista de grupos locales y sus miembros en computadoras remotas a través de interfaces de servicio de Active Directory (ADSI)
- Conducta ataques de diccionario en cuentas de usuario
- Desempaquete el archivo ZIP descargado por PowerShower y ejecute un script de PowerShell contenido en él para realizar una Kerberoasting ataque, que es un técnica post-explotación para obtener credenciales para cuentas de Active Directory
- Obtener una lista de grupos de administradores
- Obtenga una lista de controladores de dominio
- Obtener información sobre archivos dentro del Datos del programa carpeta
- Obtenga la configuración de la política de cuenta y la política de contraseña en la computadora local
VBCloud también funciona de manera muy similar a VBShower, pero utiliza un servicio de almacenamiento en la nube pública para las comunicaciones C2. Se activa mediante una tarea programada cada vez que un usuario víctima inicia sesión en el sistema.
El malware está equipado para recopilar información sobre discos (letra de unidad, tipo de unidad, tipo de medio, tamaño y espacio libre), metadatos del sistema, archivos y documentos que coincidan con las extensiones DOC, DOCX, XLS, XLSX, PDF, TXT, RTF y RAR. y archivos relacionados con la aplicación de mensajería Telegram.
“PowerShower sondea la red local y facilita una mayor infiltración, mientras que VBCloud recopila información sobre el sistema y roba archivos”, dijo Kupreev. “La cadena de infección consta de varias etapas y, en última instancia, tiene como objetivo robar datos de los dispositivos de las víctimas”.
About the Author
