Tehdit aktörü olarak bilinen Bulut Atlası 2024’te “birkaç düzine kullanıcıyı” hedef alan siber saldırı kampanyalarının bir parçası olarak VBCloud adlı daha önce belgelenmemiş bir kötü amaçlı yazılımın kullanıldığı gözlemlendi.
Kaspersky araştırmacısı Oleg Kupreev, “Kurbanlar, formül düzenleyicideki (CVE-2018-0802) bir güvenlik açığından yararlanarak kötü amaçlı yazılım kodunu indirip çalıştıran, kötü amaçlı bir belge içeren kimlik avı e-postaları yoluyla bulaşıyor” dedi. söz konusu Bu hafta yayınlanan bir analizde.
Hedeflerin yüzde 80’inden fazlası Rusya’da bulunuyordu. Belarus, Kanada, Moldova, İsrail, Kırgızistan, Türkiye ve Vietnam’dan daha az sayıda kurban bildirildi.
Temiz Ursa, Başlangıç, Oksijen ve Kızıl Ekim olarak da anılan Bulut Atlası, 2014’ten beri aktif olan, ilişkilendirilmemiş bir tehdit faaliyeti kümesidir. Aralık 2022’de grup, Rusya, Belarus ve Transdinyester’i hedef alan siber saldırılarla ilişkilendirilmişti. PowerShower adında PowerShell tabanlı bir arka kapı dağıttı.
Tam olarak bir yıl sonra, Rus siber güvenlik şirketi FACCT, ülkedeki çeşitli kuruluşların eski bir Microsoft Office Equation Editor kusurundan yararlanan hedef odaklı kimlik avı saldırıları tarafından hedef alındığını ortaya çıkardı (CVE-2017-11882) bilinmeyen bir sonraki aşama VBS kötü amaçlı yazılımını indirmekten sorumlu bir Visual Basic Komut Dosyası (VBS) yükünü bırakmak için.
Kaspersky’nin son raporu, bu bileşenlerin VBShower adını verdiği ve daha sonra VBCloud’un yanı sıra PowerShower’ı indirip yüklemek için kullanılan şeyin bir parçası olduğunu ortaya koyuyor.
Saldırı zincirinin başlangıç noktası, açıldığında uzak bir sunucudan RTF dosyası olarak biçimlendirilmiş kötü amaçlı bir şablonu indiren, bubi tuzaklı bir Microsoft Office belgesi içeren bir kimlik avı e-postasıdır. Daha sonra kötüye kullanıyor CVE-2018-0802Denklem Düzenleyicisi’ndeki başka bir kusur olan , aynı sunucuda barındırılan bir HTML Uygulaması (HTA) dosyasını alıp çalıştırmaktır.
Kupreev, “Bu istismar HTA dosyasını RTF şablonu aracılığıyla indiriyor ve çalıştırıyor” dedi. “%APPDATA%RoamingMicrosoftWindows konumunda çeşitli dosyaları ayıklamak ve oluşturmak için alternatif veri akışları (NTFS ADS) özelliğini kullanıyor. Bu dosyalar VBShower arka kapısını oluşturuyor.”
Buna, bellekteki arka kapı modülünü çıkarıp çalıştırarak yükleyici görevi gören bir başlatıcı da dahildir. Diğer VB Script ise kendi içindeki ve başlatıcının yanı sıra “LocalMicrosoftWindowsTemporary Internet FilesContent.Word” klasöründeki tüm dosyaların içeriğini de silmeye önem veren ve böylece dosyaların üstünü örten bir temizleyicidir. kötü niyetli aktivitenin kanıtı.
VBShower arka kapısı, sistemi yeniden başlatma yetenekleriyle birlikte gelen komut ve kontrol (C2) sunucusundan daha fazla VBS verisi almak üzere tasarlanmıştır; çeşitli klasörlerdeki dosyalar, çalışan işlemlerin adları ve zamanlayıcı görevleri hakkında bilgi toplamak; PowerShower ve VBCloud’u yükleyin.
PowerShower, işlevsellik açısından VBShower’a benzer; temel fark, C2 sunucusundan sonraki aşama PowerShell komut dosyalarını indirip çalıştırmasıdır. Ayrıca ZIP arşiv dosyaları için indirici görevi görecek şekilde donatılmıştır.
Kaspersky tarafından yedi kadar PowerShell verisi gözlemlendi. Her biri aşağıdaki gibi farklı bir görevi yerine getirir:
- Active Directory Hizmet Arayüzleri (ADSI) aracılığıyla uzak bilgisayarlardaki yerel grupların ve üyelerinin bir listesini alın
- Yönetmek sözlük saldırıları kullanıcı hesaplarında
- PowerShower tarafından indirilen ZIP arşivini açın ve bir işlemi gerçekleştirmek için içinde bulunan bir PowerShell betiğini çalıştırın. Kerbero kızartma saldırı, ki bu bir sömürü sonrası teknik Active Directory hesaplarına ilişkin kimlik bilgilerini almak için
- Yönetici gruplarının listesini alın
- Etki alanı denetleyicilerinin listesini alın
- İçindeki dosyalar hakkında bilgi alın ProgramVerileri dosya
- Yerel bilgisayardaki hesap ilkesini ve parola ilkesi ayarlarını alın
VBCloud ayrıca VBShower’a çok benzer şekilde çalışır, ancak C2 iletişimleri için genel bulut depolama hizmetini kullanır. Kurban bir kullanıcı sisteme her giriş yaptığında zamanlanmış bir görev tarafından tetiklenir.
Kötü amaçlı yazılım, diskler (sürücü harfi, sürücü türü, ortam türü, boyut ve boş alan), sistem meta verileri, DOC, DOCX, XLS, XLSX, PDF, TXT, RTF ve RAR uzantılarıyla eşleşen dosyalar ve belgeler hakkındaki bilgileri toplayacak donanıma sahiptir. ve Telegram mesajlaşma uygulamasıyla ilgili dosyalar.
Kupreev, “PowerShower yerel ağı araştırıyor ve daha fazla sızmayı kolaylaştırıyor, bu arada VBCloud sistem hakkında bilgi topluyor ve dosyaları çalıyor” dedi. “Enfeksiyon zinciri birkaç aşamadan oluşuyor ve sonuçta kurbanların cihazlarından veri çalmayı hedefliyor.”
