Tehdit aktörü olarak bilinen Bulut Atlası 2024’te “birkaç düzine kullanıcıyı” hedef alan siber saldırı kampanyalarının bir parçası olarak VBCloud adlı daha önce belgelenmemiÅŸ bir kötü amaçlı yazılımın kullanıldığı gözlemlendi.
Kaspersky araÅŸtırmacısı Oleg Kupreev bu hafta yayınlanan bir analizde, “Kurbanlar, formül düzenleyicideki (CVE-2018-0802) bir güvenlik açığından yararlanarak kötü amaçlı yazılım kodunu indirip çalıştıran kötü amaçlı bir belge içeren kimlik avı e-postaları yoluyla bu hastalığa yakalanıyor.” dedi.
Hedeflerin yüzde 80’inden fazlası Rusya’da bulunuyordu. Belarus, Kanada, Moldova, Ä°srail, Kırgızistan, Türkiye ve Vietnam’dan daha az sayıda kurban bildirildi.
Temiz Ursa, BaÅŸlangıç, Oksijen ve Kızıl Ekim olarak da anılan Bulut Atlası, 2014’ten beri aktif olan, iliÅŸkilendirilmemiÅŸ bir tehdit faaliyeti kümesidir. Aralık 2022’de grup, Rusya, Belarus ve Transdinyester’i hedef alan siber saldırılarla iliÅŸkilendirilmiÅŸti. PowerShower adında PowerShell tabanlı bir arka kapı dağıttı.
Tam olarak bir yıl sonra, Rus siber güvenlik şirketi FACCT, ülkedeki çeşitli kuruluşların eski bir Microsoft Office Denklem Düzenleyicisi kusurundan (CVE-2017-11882) yararlanarak Visual Basic Komut Dosyası (VBS) yükünü düşüren hedef odaklı kimlik avı saldırıları tarafından hedef alındığını ortaya çıkardı. bilinmeyen bir sonraki aşama VBS kötü amaçlı yazılımını indirmekten sorumludur.
Kaspersky’nin son raporu, bu bileÅŸenlerin VBShower adını verdiÄŸi ve daha sonra VBCloud’un yanı sıra PowerShower’ı indirip yüklemek için kullanılan ÅŸeyin bir parçası olduÄŸunu ortaya koyuyor.
Saldırı zincirinin baÅŸlangıç ​​noktası, açıldığında uzak bir sunucudan RTF dosyası olarak biçimlendirilmiÅŸ kötü amaçlı bir ÅŸablonu indiren, bubi tuzaklı bir Microsoft Office belgesi içeren bir kimlik avı e-postasıdır. Daha sonra, aynı sunucuda barındırılan bir HTML Uygulaması (HTA) dosyasını alıp çalıştırmak için Denklem Düzenleyicisi’ndeki baÅŸka bir kusur olan CVE-2018-0802’yi kötüye kullanıyor.
Kupreev, “Bu istismar HTA dosyasını RTF ÅŸablonu aracılığıyla indiriyor ve çalıştırıyor” dedi. “%APPDATA%\Roaming\Microsoft\Windows\ konumunda birkaç dosya ayıklamak ve oluÅŸturmak için alternatif veri akışları (NTFS ADS) özelliÄŸini kullanıyor. Bu dosyalar VBShower arka kapısını oluÅŸturuyor.”
Buna, bellekteki arka kapı modülünü çıkarıp çalıştırarak yükleyici görevi gören bir baÅŸlatıcı da dahildir. DiÄŸer VB Script ise kendi içindeki ve baÅŸlatıcının yanı sıra “\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\” klasöründeki tüm dosyaların içeriÄŸini de silmeye önem veren ve böylece dosyaların üstünü örten bir temizleyicidir. kötü niyetli aktivitenin kanıtı.
VBShower arka kapısı, sistemi yeniden baÅŸlatma yetenekleriyle birlikte gelen komut ve kontrol (C2) sunucusundan daha fazla VBS verisi almak üzere tasarlanmıştır; çeÅŸitli klasörlerdeki dosyalar, çalışan iÅŸlemlerin adları ve zamanlayıcı görevleri hakkında bilgi toplamak; PowerShower ve VBCloud’u yükleyin.
PowerShower, iÅŸlevsellik açısından VBShower’a benzer; temel fark, C2 sunucusundan sonraki aÅŸama PowerShell komut dosyalarını indirip çalıştırmasıdır. Ayrıca ZIP arÅŸiv dosyaları için indirici görevi görecek ÅŸekilde donatılmıştır.
Kaspersky tarafından yedi kadar PowerShell verisi gözlemlendi. Her biri aşağıdaki gibi farklı bir görevi yerine getirir:
- Active Directory Hizmet Arayüzleri (ADSI) aracılığıyla uzak bilgisayarlardaki yerel grupların ve üyelerinin bir listesini alın
- Kullanıcı hesaplarına sözlük saldırıları düzenleme
- PowerShower tarafından indirilen ZIP arşivini açın ve Active Directory hesaplarının kimlik bilgilerini almaya yönelik bir yararlanma sonrası tekniği olan Kerberoasting saldırısını gerçekleştirmek için içinde bulunan bir PowerShell betiğini çalıştırın.
- Yönetici gruplarının listesini alın
- Etki alanı denetleyicilerinin listesini alın
- ProgramData klasörü içindeki dosyalar hakkında bilgi alma
- Yerel bilgisayardaki hesap ilkesini ve parola ilkesi ayarlarını alın
VBCloud ayrıca VBShower’a çok benzer ÅŸekilde çalışır ancak C2 iletiÅŸimleri için genel bulut depolama hizmetini kullanır. Kurban bir kullanıcı sisteme her giriÅŸ yaptığında zamanlanmış bir görev tarafından tetiklenir.
Kötü amaçlı yazılım, diskler (sürücü harfi, sürücü türü, ortam türü, boyut ve boş alan), sistem meta verileri, DOC, DOCX, XLS, XLSX, PDF, TXT, RTF ve RAR uzantılarıyla eşleşen dosyalar ve belgeler hakkındaki bilgileri toplayacak donanıma sahiptir. ve Telegram mesajlaşma uygulamasıyla ilgili dosyalar.
Kupreev, “PowerShower yerel ağı araÅŸtırıyor ve daha fazla sızmayı kolaylaÅŸtırıyor, bu arada VBCloud sistem hakkında bilgi topluyor ve dosyaları çalıyor” dedi. “Enfeksiyon zinciri birkaç aÅŸamadan oluÅŸuyor ve sonuçta kurbanların cihazlarından veri çalmayı hedefliyor.”