我们发现Cloud Atlas自2014年以来一直针对东欧和中亚地区进行网络攻击。2024年,该组织使用了一套之前未被记录的工具集进行攻击。受害者通常是通过包含恶意文档的钓鱼邮件被感染,该文档利用公式编辑器的漏洞来下载并执行恶意代码。攻击者通过远程服务器控制RTF文件和HTA文件的下载,这些文件包含VBShower后门的不同部分,VBShower后门随后会下载并安装另一个后门PowerShower。我们观察到Cloud Atlas的感染模式多年来变化不大。VBCloud后门现在复制了之前由PowerShower执行的DLL库的功能,包括下载和执行恶意插件、与云服务器通信以及执行其他任务。VBCloud通过VBShower加载,同时也下载PowerShower模块。PowerShower探测本地网络并促进进一步渗透,而VBCloud则收集系统信息并窃取文件。我们的分析显示,Cloud Atlas的攻击活动仍在继续,且攻击者在2023年8月开始的新活动中对其工具集进行了更新,现在依赖VBShower后门作为加载器,并引入了VBCloud模块,该模块负责收集和上传系统信息和其他数据。这些操作使用了一系列PowerShell脚本,使攻击者能够在受害者的系统上执行一系列任务。VBCloud使用公共云存储作为C2服务器。我们的研究还发现,钓鱼邮件仍然是Cloud Atlas攻击的初始接入点,这强调了组织需要加强基础设施防御和提高员工对这类攻击的警觉性。
原文链接:
https://securelist.com/cloud-atlas-attacks-with-new-backdoor-vbcloud/115103/
原文始发于微信公众号(狼蛛安全实验室):疑似俄罗斯Cloud Atlas组织利用新后门VBCloud窃取数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论