HackerNews 编译,转载请注明出处:
威胁组织Cloud Atlas在其2024年的网络攻击活动中使用了一种此前未被记录的恶意软件VBCloud,针对“数十名用户”实施攻击。
据卡巴斯基研究员Oleg Kupreev本周发布的分析报告显示,受害者通常通过钓鱼邮件感染,该邮件包含一个利用公式编辑器漏洞(CVE-2018-0802)的恶意文档,用于下载并执行恶意代码。
超过80%的攻击目标位于俄罗斯,其余少数受害者分布在白俄罗斯、加拿大、摩尔多瓦、以色列、吉尔吉斯斯坦、土耳其和越南。
Cloud Atlas(又称Clean Ursa、Inception、Oxygen和Red October)是自2014年活跃至今的一个匿名威胁活动集群。2022年12月,该组织被发现针对俄罗斯、白俄罗斯和德涅斯特河沿岸实施网络攻击,使用了一种名为PowerShower的基于PowerShell的后门程序。
一年后,俄罗斯网络安全公司F.A.C.C.T.披露,该国的多个实体遭遇鱼叉式钓鱼攻击,攻击利用了一个旧版Microsoft Office公式编辑器漏洞(CVE-2017-11882),植入了一个Visual Basic脚本(VBS)负载,负责下载下一阶段的未知VBS恶意软件。
卡巴斯基的最新报告表明,这些组件属于被称为VBShower的恶意工具集,它用于下载并安装PowerShower和VBCloud。
攻击链始于一封钓鱼邮件,其中包含一个诱导打开的Microsoft Office文档。一旦打开,该文档会从远程服务器下载一个恶意RTF模板,并利用CVE-2018-0802漏洞下载并运行一个托管在相同服务器上的HTML应用程序(HTA)文件。
Kupreev指出:“漏洞通过RTF模板下载HTA文件并运行,利用NTFS替代数据流(ADS)功能在%APPDATA%\Roaming\Microsoft\Windows\路径下提取并创建多个文件。这些文件组成了VBShower后门程序。”
这些文件包括一个启动器,负责在内存中提取并运行后门模块;另一个VBS脚本充当清理工具,用于删除”\Local\Microsoft\Windows\Temporary Internet Files\Content.Word”文件夹内的所有文件内容,以及自身和启动器中的内容,从而掩盖恶意活动的痕迹。
VBShower后门用于从命令与控制(C2)服务器获取更多VBS负载,其功能包括重启系统、收集文件夹中的文件信息、运行进程的名称、计划任务的列表,并安装PowerShower和VBCloud。
PowerShower的功能与VBShower相似,但主要区别在于它从C2服务器下载并执行下一阶段的PowerShell脚本,同时也可作为ZIP档案文件的下载工具。
卡巴斯基观察到多达七种PowerShell负载,每种负载执行以下特定任务:
- 通过Active Directory服务接口(ADSI)获取远程计算机上的本地组及其成员列表对用户账户进行字典攻击解压由PowerShower下载的ZIP档案,并执行其中的PowerShell脚本以实施Kerberoasting攻击(获取Active Directory账户凭据的后期利用技术)获取管理员组列表获取域控制器列表收集ProgramData文件夹中的文件信息获取本地计算机的账户策略和密码策略设置
VBCloud的功能类似于VBShower,但通过公共云存储服务进行C2通信。它由一个计划任务触发,在受害者用户每次登录系统时激活。
该恶意软件能够收集磁盘信息(驱动器号、类型、介质类型、大小和可用空间)、系统元数据以及特定文件(如DOC、DOCX、XLS、XLSX、PDF、TXT、RTF和RAR)和与Telegram消息应用相关的文件。
Kupreev总结道:“PowerShower用于探测本地网络并协助进一步渗透,而VBCloud则负责收集系统信息和窃取文件。整个感染链包括多个阶段,其最终目标是从受害者设备中窃取数据。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
