Cloud Atlas也称为Inception,是一个长时间进行 *** 监控活动的黑客安排,首要进犯的方针有工业和 *** 机构。研究人员初次发现Cloud Atlas的进犯活动是在2014年。
从2019年初到7月,研究人员发现了与该安排相关的鱼叉式垂钓进犯活动,首要进犯的方针为俄罗斯、中亚和与乌克兰有军事冲突的国家。
Cloud Atlas近期的进犯方针
从2019年开端,Cloud Atlas就没有改变过其TTP,首要依托现有有用的进犯技能、办法和歹意软件来侵略高价值方针。
Cloud Atlas的Windows分支侵略集依然运用鱼叉式垂钓进犯邮件来进犯高价值方针。这些邮件中含有运用了坐落长途服务器的歹意长途模板的office文档。
之前,在利用了Microsoft Equation vulnerability (CVE-2019-11882)缝隙和CVE-2019-0802缝隙后,Cloud Atlas就直接开释了其有用器植入PowerShower。近几个月来,研究人员发现一个运用多态HTA的新的感染链,HTA是以履行PowerShower为方针的新的多态VBS植入。研究人员5年前发现的Cloud Atlas运用的二阶段后门依然没有改变。
PowerShower
PowerShower是Palo Alto研究人员发现的歹意PowerShell,用来接纳PowerShell和VBS模块来在本地核算机上履行。Cloud Atlas从2019年10月开端运用该歹意软件作为有用性验证器,现在作为第二阶段。两个版别的不同在于PowerShower的反剖析特征。
PowerShower后门共有3个指令:
PowerShower中有以下模块:
· 一个PowerShell文件盗取器模块,运用7zip来打包和盗取曩昔2天修改正的小于5MB的*.txt, *.pdf, *.xls, *.doc文件。
· 一个侦查模块,接纳活泼进程、当时用户和当时Windows域的列表。奇怪的是,该特征呈现在了PowerShower中,可是触发其履行的条件从来没呈现过。
· 一个暗码盗取模块,运用开源东西LaZagne从受感染的体系中提取暗码。
研究人员没有遇到过该植入开释的VBS模块,但研究人员以为PowerShower开释的VBS脚本是研究人员2014年发现的第二阶段后门。
VBShower
在最近活动中,Cloud Atlas在感染后不再直接运用依靠PowerShower的感染链,而是履行坐落长途服务器的多态HTA,用来在本地体系上开释3个不同的文件:
· VBShower后门,多态后门,用来替换PowerShower作为有用性验证器。
· VBShower启动器。
· HTA核算的文件,其间含有环境数据,如当时用户、域名、核算机名和活动进程列表。
多态感染链答应进犯者测验绕过根据IoC的防护计划,由于对受害者来说,每一行代码都是仅有的。
VBShower后门和PowerShower的思维相同,都是经过删去%APPDATA%..LocalTemporary Internet FilesContent.Word和%APPDATA%..Local SettingsTemporary Internet FilesContent.Word中所有的文件来感染取证剖析。
一旦删去这些文件并经过注册表完成驻留,VBShower就会发送HTA核算出的环境数据到长途服务器,并经过HTTP从长途服务器每隔一小时获取一个要履行的VBS脚本。
VBShower一共推送了2个VBS文件,之一个是PowerShower的装置器,第二个是Cloud Atlas二阶段模块化后门的装置器,用来经过Webdav与云存储服务通讯。
总结
Cloud Atlas首要针对东欧和中亚建议进犯。进犯者运用简略有用的鱼叉式垂钓进犯来侵略方针。与其他侵略集不同,Cloud Atlas在最近的进犯活动中没有运用开源植入,并且侵略集多年来一向没有改变其模块化后门,该后门现已被发现5年了。