Cloud Atlas也称为Inception，是一个长时间进行 *** 监控活动的黑客安排，首要进犯的方针有工业和 *** 机构。研究人员初次发现Cloud Atlas的进犯活动是在2014年。 从2019年初到7月，研究人员发现了与该安排相关的鱼叉式垂钓进犯活动，首要进犯的方针为俄罗斯、中亚和与乌克兰有军事冲突的国家。 Cloud Atlas近期的进犯方针 从2019年开端，Cloud Atlas就没有改变过其TTP，首要依托现有有用的进犯技能、办法和歹意软件来侵略高价值方针。 Cloud Atlas的Windows分支侵略集依然运用鱼叉式垂钓进犯邮件来进犯高价值方针。这些邮件中含有运用了坐落长途服务器的歹意长途模板的office文档。 之前，在利用了Microsoft Equation vulnerability (CVE-2019-11882)缝隙和CVE-2019-0802缝隙后，Cloud Atlas就直接开释了其有用器植入PowerShower。近几个月来，研究人员发现一个运用多态HTA的新的感染链，HTA是以履行PowerShower为方针的新的多态VBS植入。研究人员5年前发现的Cloud Atlas运用的二阶段后门依然没有改变。 PowerShower PowerShower是Palo Alto研究人员发现的歹意PowerShell，用来接纳PowerShell和VBS模块来在本地核算机上履行。Cloud Atlas从2019年10月开端运用该歹意软件作为有用性验证器，现在作为第二阶段。两个版别的不同在于PowerShower的反剖析特征。 PowerShower后门共有3个指令： PowerShower中有以下模块： · 一个PowerShell文件盗取器模块，运用7zip来打包和盗取曩昔2天修改正的小于5MB的*.txt, *.pdf, *.xls, *.doc文件。 · 一个侦查模块，接纳活泼进程、当时用户和当时Windows域的列表。奇怪的是，该特征呈现在了PowerShower中，可是触发其履行的条件从来没呈现过。 · 一个暗码盗取模块，运用开源东西LaZagne从受感染的体系中提取暗码。 研究人员没有遇到过该植入开释的VBS模块，但研究人员以为PowerShower开释的VBS脚本是研究人员2014年发现的第二阶段后门。 VBShower 在最近活动中，Cloud Atlas在感染后不再直接运用依靠PowerShower的感染链，而是履行坐落长途服务器的多态HTA，用来在本地体系上开释3个不同的文件: · VBShower后门，多态后门，用来替换PowerShower作为有用性验证器。 · VBShower启动器。 · HTA核算的文件，其间含有环境数据，如当时用户、域名、核算机名和活动进程列表。 多态感染链答应进犯者测验绕过根据IoC的防护计划，由于对受害者来说，每一行代码都是仅有的。 VBShower后门和PowerShower的思维相同，都是经过删去%APPDATA%..LocalTemporary Internet FilesContent.Word和%APPDATA%..Local SettingsTemporary Internet FilesContent.Word中所有的文件来感染取证剖析。 一旦删去这些文件并经过注册表完成驻留，VBShower就会发送HTA核算出的环境数据到长途服务器，并经过HTTP从长途服务器每隔一小时获取一个要履行的VBS脚本。 VBShower一共推送了2个VBS文件，之一个是PowerShower的装置器，第二个是Cloud Atlas二阶段模块化后门的装置器，用来经过Webdav与云存储服务通讯。 总结 Cloud Atlas首要针对东欧和中亚建议进犯。进犯者运用简略有用的鱼叉式垂钓进犯来侵略方针。与其他侵略集不同，Cloud Atlas在最近的进犯活动中没有运用开源植入，并且侵略集多年来一向没有改变其模块化后门，该后门现已被发现5年了。