'黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們'

"
"
黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們

Cloud Atlas,也被稱為Inception,是一個主要針對政府機構以及特定行業開展網絡間諜活動的黑客組織。

卡巴斯基實驗室在上週發佈的一份分析報告中指出,他們自2014年首次公開披露了Cloud Atlas以來,就一直在關注該組織的活動。

僅在今年1月至7月期間,卡巴斯基實驗室就已經能夠確認了多起與該組織存在關聯的魚叉式網絡釣魚活動(使用的電子郵箱地址包括:[email protected][email protected]

[email protected][email protected][email protected]),這些活動主要集中在如俄羅斯、中亞和烏克蘭這樣軍事衝突不斷的地區。

"
黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們

Cloud Atlas,也被稱為Inception,是一個主要針對政府機構以及特定行業開展網絡間諜活動的黑客組織。

卡巴斯基實驗室在上週發佈的一份分析報告中指出,他們自2014年首次公開披露了Cloud Atlas以來,就一直在關注該組織的活動。

僅在今年1月至7月期間,卡巴斯基實驗室就已經能夠確認了多起與該組織存在關聯的魚叉式網絡釣魚活動(使用的電子郵箱地址包括:[email protected][email protected]

[email protected][email protected][email protected]),這些活動主要集中在如俄羅斯、中亞和烏克蘭這樣軍事衝突不斷的地區。

黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們

卡巴斯基實驗室表示,Cloud Atlas自2018年以來就沒有改變過其TTP(戰術、工具和程序),仍然依賴現有的戰術和惡意軟件來入侵目標,比如結合利用CVE-2018-0802和CVE-2017-11882漏洞來部署被命名為“PowerShower”的後門。

不過,在最近幾個月的活動中,Cloud Atlas雖然仍主要使用PowerShower後門來作為最終的有效載荷,但卻改變了感染方法,開始利用HTA(HTML應用程序)和VBS腳本來下載並執行PowerShower。

PowerShower後門簡介

PowerShower最初是由網絡安全公司Palo Alto Networks命名並公開披露的,從本質上講是一個惡意PowerShell腳本,被設計用於接收PowerShell命令和VBS模塊,並在受感染計算機上執行。

"
黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們

Cloud Atlas,也被稱為Inception,是一個主要針對政府機構以及特定行業開展網絡間諜活動的黑客組織。

卡巴斯基實驗室在上週發佈的一份分析報告中指出,他們自2014年首次公開披露了Cloud Atlas以來,就一直在關注該組織的活動。

僅在今年1月至7月期間,卡巴斯基實驗室就已經能夠確認了多起與該組織存在關聯的魚叉式網絡釣魚活動(使用的電子郵箱地址包括:[email protected][email protected]

[email protected][email protected][email protected]),這些活動主要集中在如俄羅斯、中亞和烏克蘭這樣軍事衝突不斷的地區。

黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們

卡巴斯基實驗室表示,Cloud Atlas自2018年以來就沒有改變過其TTP(戰術、工具和程序),仍然依賴現有的戰術和惡意軟件來入侵目標,比如結合利用CVE-2018-0802和CVE-2017-11882漏洞來部署被命名為“PowerShower”的後門。

不過,在最近幾個月的活動中,Cloud Atlas雖然仍主要使用PowerShower後門來作為最終的有效載荷,但卻改變了感染方法,開始利用HTA(HTML應用程序)和VBS腳本來下載並執行PowerShower。

PowerShower後門簡介

PowerShower最初是由網絡安全公司Palo Alto Networks命名並公開披露的,從本質上講是一個惡意PowerShell腳本,被設計用於接收PowerShell命令和VBS模塊,並在受感染計算機上執行。

黑客組織Cloud Atlas最新動態:哪裡有軍事衝突,哪裡就有我們

PowerShower接收的命令只有三個,即使是在最新的版本中也沒有改變:

  • 0x80 (Ascii “P”)-它是.zip壓縮文件的第一個字節(.zip文件打開為文本總是以“PK”開頭),PowerShower會將收到的內容保存到“TEMP”文件夾下的“PG.zip”文件中;
  • 0x79 (Ascii “O”)-它是“On resume error”的第一個字節。PowerShower會將收到的內容保存到“APPDATA\\Microsoft\\Word”文件夾下的“[A-Za-z]{4}.vbs”腳本中,並使用Wscript.exe執行它;
  • Default-如果第一個字節與0x80或0x79不匹配,則將內容保存到“TEMP”文件夾下的temp.xml文件中。然後,PowerShower會加載文件的內容,解析XML以獲得要執行的PowerShell命令並調用IEX。執行命令後,PowerShower將刪除temp.xml,並通過HTTP POST請求將“TEMP”文件夾下的pass.txt文件中的內容上傳到C2服務器。

PowerShower包含了如下模塊:

  • 一個PowerShell文件竊取程序模塊-它使用7zip(包含在PG.zip文件中)來打包並向C2服務器上傳用戶在過去兩天裡修改過的小於5MB的所有.txt、.pdf、.xls和.doc文件。
  • 一個偵察模塊-用於檢索活躍進程、當前用戶和當前Windows域的列表。
  • 一個密碼竊取程序模塊-它使用開源工具LaZagne從受感染系統中檢索密碼。

新的VBS腳本——VBShower後門

如上所述,Cloud Atlas在最近的活動中改變了感染方法。在感染後,不再依賴PowerShower,而是執行託管在遠程服務器上的HTA,用於在受感染計算機上釋放三個不同的文件:

  • 一個被卡巴斯基實驗室命名為“VBShower”的後門;
  • 一個適用於VBShower的啟動器;
  • 一個由HTA生成的文件,其中包含了如當前用戶、域名、計算機名和活躍進程列表之類的數據。

使用這種新的感染方法,Cloud Atlas似乎是想要繞過基於IOC的防禦方案,因為每一行代碼對於受感染計算機來說都是唯一的,所以無法通過主機上的文件散列來進行搜索。

VBShower後門具有與PowerShower相同設計理念——嘗試通過刪除“%APPDATA%\\..\\Local\\Temporary Internet Files\\Content.Word”和“%APPDATA%\\..\\Local Settings\\Temporary Internet Files\\Content.Word\\”所包含的所有文件來使得取證分析複雜化。

卡巴斯基實驗室表示,他們目前已經觀察到VBShower下載了兩個VBS文件到受感染計算機——一個是PowerShower的安裝程序,另一個是Cloud Atlas在5年前就已經使用過的一種模塊化後門的安裝程序,後者通過Webdav(一種基於HTTP 1.1的通信協議)與雲存儲服務通信。

結論

總的來說,Cloud Atlas的活動範圍主要集中在東歐和中亞,主要通過魚叉式網絡釣魚電子郵件來傳播自制的惡意軟件。

與其他黑客組織不同,Cloud Atlas很少使用開源的工具和惡意軟件,也很少大幅度修改他們自己的惡意軟件。例如,在最近的活動中,該組織就仍在使用早在5年前就已經使用過的模塊化後門,並且沒有對它進行任何修改。

"

相關推薦

推薦中...