Cloud Atlas近期活动分析

ang010ela Web安全 2019年8月14日发布
Favorite收藏

导语:Cloud Atlas黑客组织在最近的活动中使用多态恶意软件来绕过检测。

Cloud Atlas也称为Inception,是一个长期进行网络监控活动的黑客组织,主要攻击的目标有工业和政府机构。研究人员首次发现Cloud Atlas的攻击活动是在2014年。

从2019年初到7月,研究人员发现了与该组织相关的鱼叉式钓鱼攻击活动,主要攻击的目标为俄罗斯、中亚和与乌克兰有军事冲突的国家。

Cloud Atlas近期的攻击目标

从2018年开始,Cloud Atlas就没有改变过其TTP,主要依靠现有有效的攻击技术、方法和恶意软件来入侵高价值目标。

Cloud Atlas的Windows分支入侵集仍然使用鱼叉式钓鱼攻击邮件来攻击高价值目标。这些邮件中含有使用了位于远程服务器的恶意远程模板的office文档。

之前,在利用了Microsoft Equation vulnerability (CVE-2017-11882)漏洞和CVE-2018-0802漏洞后,Cloud Atlas就直接释放了其有效器植入PowerShower。近几个月来,研究人员发现一个使用多态HTA的新的感染链,HTA是以执行PowerShower为目标的新的多态VBS植入。研究人员5年前发现的Cloud Atlas使用的二阶段后门仍然没有变化。

PowerShower

PowerShower是Palo Alto研究人员发现的恶意PowerShell,用来接收PowerShell和VBS模块来在本地计算机上执行。Cloud Atlas从2018年10月开始使用该恶意软件作为有效性验证器,现在作为第二阶段。两个版本的不同在于PowerShower的反分析特征。

 

PowerShower后门共有3个命令:

image.png

PowerShower中有以下模块:

· 一个PowerShell文件窃取器模块,使用7zip来打包和窃取过去2天修改过的小于5MB的*.txt, *.pdf, *.xls, *.doc文件。

· 一个侦察模块,接收活跃进程、当前用户和当前Windows域的列表。奇怪的是,该特征出现在了PowerShower中,但是触发其执行的条件从来没出现过。

· 一个密码窃取模块,使用开源工具LaZagne从受感染的系统中提取密码。

研究人员没有遇到过该植入释放的VBS模块,但研究人员认为PowerShower释放的VBS脚本是研究人员2014年发现的第二阶段后门。

VBShower

在最近活动中,Cloud Atlas在感染后不再直接使用依赖PowerShower的感染链,而是执行位于远程服务器的多态HTA,用来在本地系统上释放3个不同的文件:

· VBShower后门,多态后门,用来替换PowerShower作为有效性验证器。

· VBShower启动器。

· HTA计算的文件,其中含有环境数据,如当前用户、域名、计算机名和活动进程列表。

多态感染链允许攻击者尝试绕过基于IoC的防御方案,因为对受害者来说,每一行代码都是唯一的。

VBShower后门和PowerShower的思想一样,都是通过删除%APPDATA%\..\Local\Temporary Internet Files\Content.Word和%APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\中所有的文件来感染取证分析。

一旦删除这些文件并通过注册表实现驻留,VBShower就会发送HTA计算出的环境数据到远程服务器,并通过HTTP从远程服务器每隔一小时获取一个要执行的VBS脚本。

VBShower一共推送了2个VBS文件,第一个是PowerShower的安装器,第二个是Cloud Atlas二阶段模块化后门的安装器,用来通过Webdav与云存储服务通信。

总结

Cloud Atlas主要针对东欧和中亚发起攻击。攻击者使用简单有效的鱼叉式钓鱼攻击来入侵目标。与其他入侵集不同,Cloud Atlas在最近的攻击活动中没有使用开源植入,而且入侵集多年来一直没有变化其模块化后门,该后门已经被发现5年了。

本文翻译自:https://securelist.com/recent-cloud-atlas-activity/92016/如若转载,请注明原文地址: https://www.4hou.com/web/19694.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论