Bulut Atlası olarak bilinen gelişmiş bir siber casusluk grubunun, Doğu Avrupa ve Orta Asya’daki kuruluşlara yönelik hedefli saldırılar başlatmak için kritik bir Microsoft Office güvenlik açığından yararlandığı gözlemlendi.
Araştırmacılara göre, 2014’ten bu yana aktif olan grup, yakın zamanda tespitten kaçma ve yüksek değerli hedeflerden taviz verme yeteneğini önemli ölçüde artıran yeni bir araç setini tanıttı.
Cloud Atlas’ın kullandığı birincil enfeksiyon vektörü, kötü amaçlı belgeler içeren, özenle hazırlanmış kimlik avı e-postalarını içerir. Bu belgeler, Microsoft Office’in formül düzenleyicisindeki (CVE-2018-0802) bir güvenlik açığından yararlanarak, gelişmiş arka kapıların konuşlandırılmasına yol açan karmaşık bir enfeksiyon zincirini başlatıyor.
Bir kurban kötü amaçlı belgeyi açtığında, saldırganlar tarafından kontrol edilen bir sunucudan RTF formatında uzak bir şablon dosyasının indirilmesi tetiklenir.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Bu şablon, aynı komut ve kontrol (C2) sunucusunda barındırılan bir HTML Uygulaması (HTA) dosyasını indirip çalıştıran formül düzenleyici güvenlik açığına yönelik bir istismar içerir.
Cloud Atlas, tespit edilmekten kaçınmak ve maruz kalmayı sınırlamak için, kötü amaçlı yazılımlarının dağıtımı üzerinde sıkı kontroller uyguladı. RTF ve HTA dosya indirmeleri belirli zaman dilimleriyle sınırlıdır ve yalnızca hedeflenen bölgelerdeki IP adreslerinden erişilebilir.
HTA dosyası yürütüldükten sonra VBShower arka kapısının çeşitli bileşenlerini çıkarır ve kurbanın diskine yazar. Araştırmacılar, VBShower’ın daha sonra PowerShower adı verilen ek bir arka kapıyı indirip yüklemeye devam ettiğini belirtti.
Bu enfeksiyon şeması, yıllar içinde yalnızca küçük değişikliklerle 2019’daki ilk keşfinden bu yana nispeten tutarlı kaldı.
Cloud Atlas, taktiklerinde önemli bir değişiklik yaparak VBCloud adında yeni bir arka kapı tanıttı. Bu implant, kötü amaçlı eklentileri indirme ve çalıştırma, bulut sunucularıyla iletişim kurma ve çeşitli sistem görevlerini gerçekleştirme yeteneği de dahil olmak üzere daha önce ayrı bir DLL modülüyle ilişkilendirilen yeteneklerin çoğunu kopyalıyor.
VBCloud ilk olarak Ağustos 2023’te tespit edildi ve o zamandan beri gizli profilini korumak için çok sayıda değişikliğe uğradı.
Güncellenen saldırı zinciri artık VBCloud’un, PowerShower modülünü de indiren VBShower aracılığıyla yüklenmesini içeriyor. PowerShower, yerel ağı araştırmaktan ve daha fazla sızmayı kolaylaştırmaktan sorumludur; VBCloud ise sistem bilgilerini toplamaya ve ilgilenilen dosyaları dışarı çıkarmaya odaklanır.
Cloud Atlas, havacılık ve uzay ve uluslararası ekonomi gibi sektörlerin yanı sıra devlet kurumları ve dini kuruluşları da hedeflemeye özel bir ilgi gösterdi. Operasyonlarından etkilenen ülkeler arasında Portekiz, Romanya, Türkiye, Ukrayna, Rusya, Türkmenistan, Afganistan ve Kırgızistan yer alıyor.
Grubun sürekli gelişimi ve polimorfik kötü amaçlı yazılım tekniklerini benimsemesi, siber güvenlik uzmanlarının gelişmiş kalıcı tehditleri tespit etme ve azaltma konusunda karşılaştığı süregelen zorlukları vurgulamaktadır.
Cloud Atlas, araçlarını ve taktiklerini geliştirmeye devam ederken, hedeflenen bölgelerdeki kuruluşların bu karmaşık siber casusluk kampanyalarına karşı dikkatli olmaları ve güçlü güvenlik önlemleri almaları gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin