Aktor ancaman yang dikenal sebagai Atlas Awan telah diamati menggunakan malware yang sebelumnya tidak terdokumentasi bernama VBCloud sebagai bagian dari kampanye serangan siber yang menargetkan “beberapa lusin pengguna” pada tahun 2024.
“Korban terinfeksi melalui email phishing yang berisi dokumen berbahaya yang mengeksploitasi kerentanan dalam formula editor (CVE-2018-0802) untuk mengunduh dan mengeksekusi kode malware,” kata peneliti Kaspersky Oleg Kupreev dalam analisis yang diterbitkan minggu ini.
Lebih dari 80% target berada di Rusia. Jumlah korban yang lebih sedikit dilaporkan berasal dari Belarus, Kanada, Moldova, Israel, Kyrgyzstan, Turki, dan Vietnam.
Juga disebut sebagai Clean Ursa, Inception, Oxygen, dan Red October, Cloud Atlas adalah cluster aktivitas ancaman tanpa atribut yang telah aktif sejak tahun 2014. Pada bulan Desember 2022, grup ini dikaitkan dengan serangan cyber yang ditujukan ke Rusia, Belarus, dan Transnistria yang menerapkan pintu belakang berbasis PowerShell yang disebut PowerShower.
Tepat setahun kemudian, perusahaan keamanan siber Rusia FACCT mengungkapkan bahwa berbagai entitas di negara tersebut menjadi sasaran serangan spear-phishing yang mengeksploitasi kelemahan lama Microsoft Office Equation Editor (CVE-2017-11882) untuk menjatuhkan muatan Visual Basic Script (VBS) bertanggung jawab untuk mengunduh malware VBS tahap berikutnya yang tidak diketahui.
Laporan terbaru Kaspersky mengungkapkan bahwa komponen-komponen ini adalah bagian dari apa yang disebut VBShower, yang kemudian digunakan untuk mengunduh dan menginstal PowerShower serta VBCloud.
Titik awal rantai serangan adalah email phishing yang berisi dokumen Microsoft Office jebakan yang, ketika dibuka, mengunduh templat berbahaya yang diformat sebagai file RTF dari server jauh. Kemudian menyalahgunakan CVE-2018-0802, kelemahan lain di Equation Editor, untuk mengambil dan menjalankan file Aplikasi HTML (HTA) yang dihosting di server yang sama.
“Eksploitasi mengunduh file HTA melalui template RTF dan menjalankannya,” kata Kupreev. “Ini memanfaatkan fitur aliran data alternatif (NTFS ADS) untuk mengekstrak dan membuat beberapa file di %APPDATA%\Roaming\Microsoft\Windows\. File-file ini membentuk pintu belakang VBShower.”
Ini termasuk peluncur, yang bertindak sebagai pemuat dengan mengekstraksi dan menjalankan modul pintu belakang di memori. Skrip VB lainnya adalah pembersih yang peduli untuk menghapus konten semua file di dalam folder “\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\”, selain yang ada di dalamnya dan peluncur, sehingga menutupi bukti aktivitas jahat.
Pintu belakang VBShower dirancang untuk mengambil lebih banyak muatan VBS dari server perintah-dan-kontrol (C2) yang dilengkapi dengan kemampuan untuk mem-boot ulang sistem; mengumpulkan informasi tentang file di berbagai folder, nama proses yang berjalan, dan tugas penjadwal; dan instal PowerShower dan VBCloud.
PowerShower analog dengan VBShower dalam hal fungsionalitas, perbedaan utamanya adalah ia mengunduh dan mengeksekusi skrip PowerShell tahap berikutnya dari server C2. Itu juga dilengkapi untuk berfungsi sebagai pengunduh file arsip ZIP.
Sebanyak tujuh muatan PowerShell telah diamati oleh Kaspersky. Masing-masing dari mereka menjalankan tugas berbeda sebagai berikut –
- Dapatkan daftar grup lokal dan anggotanya di komputer jarak jauh melalui Active Directory Service Interfaces (ADSI)
- Melakukan serangan kamus pada akun pengguna
- Buka paket arsip ZIP yang diunduh oleh PowerShower dan jalankan skrip PowerShell yang ada di dalamnya untuk melakukan serangan Kerberoasting, yang merupakan teknik pasca-eksploitasi untuk mendapatkan kredensial untuk akun Direktori Aktif
- Dapatkan daftar grup administrator
- Dapatkan daftar pengontrol domain
- Dapatkan informasi tentang file di dalam folder ProgramData
- Dapatkan pengaturan kebijakan akun dan kebijakan kata sandi di komputer lokal
VBCloud juga berfungsi sangat mirip dengan VBShower, namun menggunakan layanan penyimpanan cloud publik untuk komunikasi C2. Ini dipicu oleh tugas terjadwal setiap kali pengguna korban masuk ke sistem.
Malware ini dilengkapi untuk mengumpulkan informasi tentang disk (huruf drive, jenis drive, jenis media, ukuran, dan ruang kosong), metadata sistem, file dan dokumen yang cocok dengan ekstensi DOC, DOCX, XLS, XLSX, PDF, TXT, RTF, dan RAR , dan file yang terkait dengan aplikasi perpesanan Telegram.
“PowerShower menyelidiki jaringan lokal dan memfasilitasi infiltrasi lebih lanjut, sementara VBCloud mengumpulkan informasi tentang sistem dan mencuri file,” kata Kupreev. “Rantai infeksi terdiri dari beberapa tahap dan pada akhirnya bertujuan untuk mencuri data dari perangkat korban.”
