Ataques de Spear-Phishing do Cloud Atlas visam empresas russas de agropecuária e pesquisa
25 de Dezembro de 2023

O ator de ameaças referido como Cloud Atlas tem sido associado a um conjunto de ataques de spear-phishing em empresas russas.

Os alvos incluíram uma empresa agroindustrial russa e uma empresa de pesquisa de propriedade estatal, de acordo com um relatório de F.A.C.C.T., uma empresa de cibersegurança independente formada após a saída formal do Grupo-IB da Rússia no início deste ano.

Cloud Atlas, ativo desde pelo menos 2014, é um grupo de espionagem cibernética de origem desconhecida.

Também chamado de Clean Ursa, Inception, Oxygen e Red October, o ator de ameaças é conhecido por suas campanhas persistentes direcionadas à Rússia, Belarus, Azerbaijão, Turquia e Eslovênia.

Em dezembro de 2022, Check Point e Positive Technologies detalharam sequências de ataques multiestágio que levaram ao uso de um backdoor baseado em PowerShell referido como PowerShower, bem como payloads DLL capazes de se comunicar com um servidor controlado pelo ator.

O ponto de partida é uma mensagem de phishing que explora a CVE-2017-11882 , uma falha de corrupção de memória de seis anos no Equation Editor do Microsoft Office, para iniciar a execução de payloads maliciosos, uma técnica empregada pelo Cloud Atlas desde outubro de 2018.

"Os massivos ataques de spear-phishing do ator continuam a usar seus métodos simples, mas eficazes para comprometer seus alvos", observou a Kaspersky em agosto de 2019.

"Ao contrário de muitos outros grupos de intrusão, o Cloud Atlas não optou por usar implantes de código aberto em suas campanhas recentes, para ser menos discriminatório."

F.A.C.C.T.

descreveu a chamada kill chain mais recente como similar à descrita pela Positive Technologies, com a explotação bem-sucedida da CVE-2017-11882 via injeção de template RTF preparando o caminho para um shellcode responsável por baixar e executar um arquivo HTA ofuscado.

Os emails vêm de serviços de email russos populares Yandex Mail e Mail.ru do VK.

O aplicativo HTML malicioso em seguida executa arquivos de script Visual Basic (VBS) que são finalmente responsáveis por recuperar e executar um código VBS desconhecido de um servidor remoto.

"O grupo Cloud Atlas tem estado ativo por muitos anos, pensando cuidadosamente em cada aspecto de seus ataques", disse a Positive Technologies sobre o grupo no ano passado.

"O conjunto de ferramentas do grupo não mudou ao longo dos anos - eles tentam esconder seu malware dos pesquisadores usando solicitações de payloads de uso único e validando-as.

O grupo evita ferramentas de detecção de ataques de rede e arquivos usando armazenamento em nuvem legítimo e recursos de software bem documentados, em particular no Microsoft Office."

O desenvolvimento ocorre enquanto a empresa disse que pelo menos 20 organizações localizadas na Rússia foram comprometidas usando o Decoy Dog, uma versão modificada do Pupy RAT, atribuída a um ator de ameaça persistente avançada ao qual chama de Hellhounds.

O malware ativamente mantido, além de permitir que o adversário controle remotamente o host infectado, vem com um script projetado para transmitir dados de telemetria para uma conta "automatizada" no Mastodon com o nome "Lamir Hasabat" (@lahat) na instância do Mindly.Social.

"Depois que os materiais sobre a primeira versão do Decoy Dog foram publicados, os autores do malware fizeram muito esforço para dificultar sua detecção e análise tanto no tráfego quanto no sistema de arquivos", disseram os pesquisadores de segurança Stanislav Pyzhov e Aleksandr Grigorian.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...