S'inscrire

Cybersécurité - 27/12/2024

Cloud Atlas déploie le malware VBCloud : plus de 80 % des cibles trouvées en Russie

Hacker utilisant un outil de cybersécurité

L’acteur malveillant connu sous le nom de Cloud Atlas a été observé en train d’utiliser un malware jusqu’alors non documenté appelé VBCloud dans le cadre de ses campagnes de cyberattaques ciblant « plusieurs dizaines d’utilisateurs » en 2024.

« Les victimes sont infectées via des e-mails de phishing contenant un document malveillant qui exploite une vulnérabilité dans l’éditeur de formules (CVE-2018-0802) pour télécharger et exécuter un code malveillant », a déclaré le chercheur de Kaspersky Oleg Kupreev dans une analyse publiée cette semaine.

Plus de 80 % des cibles se trouvaient en Russie. Un nombre moins important de victimes ont été recensées en Biélorussie, au Canada, en Moldavie, en Israël, au Kirghizistan, en Turquie et au Vietnam.

Également appelé Clean Ursa, Inception, Oxygen et Red October, Cloud Atlas est un groupe d’activités de menaces non attribuées qui est actif depuis 2014. En décembre 2022, le groupe a été lié à des cyberattaques visant la Russie, la Biélorussie et la Transnistrie qui ont déployé une porte dérobée basée sur PowerShell appelée PowerShower.

Puis, exactement un an plus tard, la société russe de cybersécurité FACCT a révélé que diverses entités du pays avaient été ciblées par des attaques de spear-phishing qui exploitaient une ancienne faille de l’éditeur d’équations de Microsoft Office ( CVE-2017-11882 ) pour déposer une charge utile Visual Basic Script (VBS) responsable du téléchargement d’un malware VBS inconnu de niveau supérieur.

Le dernier rapport de Kaspersky révèle que ces composants font partie de ce qu’il appelle VBShower, qui est ensuite utilisé pour télécharger et installer PowerShower ainsi que VBCloud.

Le point de départ de la chaîne d’attaque est un e-mail de phishing contenant un document Microsoft Office piégé qui, une fois ouvert, télécharge un modèle malveillant au format RTF à partir d’un serveur distant. Il exploite ensuite CVE-2018-0802 , une autre faille de l’éditeur d’équations, pour récupérer et exécuter un fichier d’application HTML (HTA) hébergé sur le même serveur.

« L’exploit télécharge le fichier HTA via le modèle RTF et l’exécute », a déclaré Kupreev. « Il exploite la fonctionnalité de flux de données alternatifs (NTFS ADS) pour extraire et créer plusieurs fichiers dans %APPDATA%\Roaming\Microsoft\Windows\. Ces fichiers constituent la porte dérobée VBShower. »

Cela inclut un lanceur, qui agit comme un chargeur en extrayant et en exécutant le module de porte dérobée en mémoire. L’autre script VB est un nettoyeur qui se charge d’effacer le contenu de tous les fichiers à l’intérieur du dossier “\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\”, en plus de ceux qui se trouvent à l’intérieur de lui-même et du lanceur, masquant ainsi les preuves de l’activité malveillante.

/>

La porte dérobée VBShower est conçue pour récupérer davantage de charges utiles VBS à partir du serveur de commande et de contrôle (C2) doté de capacités permettant de redémarrer le système, de collecter des informations sur les fichiers dans divers dossiers, les noms des processus en cours d’exécution et les tâches du planificateur, et d’installer PowerShower et VBCloud.

PowerShower est analogue à VBShower en termes de fonctionnalités, la principale différence étant qu’il télécharge et exécute les scripts PowerShell de l’étape suivante à partir du serveur C2. Il est également équipé pour servir de téléchargeur pour les fichiers d’archive ZIP.

Jusqu’à sept charges utiles PowerShell ont été observées par Kaspersky. Chacune d’entre elles effectue une tâche distincte comme suit :

  • Obtenez une liste des groupes locaux et de leurs membres sur des ordinateurs distants via les interfaces de service Active Directory (ADSI)
  • Mener des attaques par dictionnaire sur les comptes utilisateurs
  • Décompressez l’archive ZIP téléchargée par PowerShower et exécutez un script PowerShell qu’elle contient afin de réaliser une attaque Kerberoasting , qui est une technique de post-exploitation permettant d’obtenir des informations d’identification pour les comptes Active Directory
  • Obtenir une liste des groupes d’administrateurs
  • Obtenir une liste des contrôleurs de domaine
  • Obtenir des informations sur les fichiers contenus dans le dossier ProgramData
  • Obtenir les paramètres de la politique de compte et de la politique de mot de passe sur l’ordinateur local

VBCloud fonctionne également de manière très similaire à VBShower, mais utilise un service de stockage cloud public pour les communications C2. Il est déclenché par une tâche planifiée chaque fois qu’un utilisateur victime se connecte au système.

Le logiciel malveillant est équipé pour collecter des informations sur les disques (lettre de lecteur, type de lecteur, type de support, taille et espace libre), les métadonnées du système, les fichiers et documents correspondant aux extensions DOC, DOCX, XLS, XLSX, PDF, TXT, RTF et RAR, ainsi que les fichiers liés à l’application de messagerie Telegram.

« PowerShower sonde le réseau local et facilite l’infiltration, tandis que VBCloud collecte des informations sur le système et vole des fichiers », a expliqué Kupreev. « La chaîne d’infection se compose de plusieurs étapes et vise en fin de compte à voler des données sur les appareils des victimes. »

Sujets récents