导 读
卡巴斯基研究人员发现,一个名为Cloud Atlas 的威胁组织使用一种名为 VBCloud 的未记录恶意软件,作为其 2024 年针对“数十名用户”网络攻击活动的一部分。
卡巴斯基研究员 Oleg Kupreev在本周发表的分析报告中表示: “受害者通过包含恶意文档的网络钓鱼电子邮件受到感染,该恶意文档利用公式编辑器中的漏洞(CVE-2018-0802)下载并执行恶意软件代码。”
超过 80% 的目标位于俄罗斯。据报道,其他较少数量的受害者来自白俄罗斯、加拿大、摩尔多瓦、以色列、吉尔吉斯斯坦、土耳其和越南。
Cloud Atlas 也被称为 Clean Ursa、Inception、Oxygen 和 Red October,是一个未被归属的APT组织,自 2014 年以来一直活跃。
2022 年 12 月,该组织与针对俄罗斯、白俄罗斯和德涅斯特河沿岸的网络攻击有关,该组织部署一个名为 PowerShower 的基于 PowerShell 的后门。
一年之后,俄罗斯网络安全公司 FACCT透露,该国各个实体都成为了鱼叉式网络钓鱼攻击的目标,这些攻击利用旧的 Microsoft Office 公式编辑器漏洞(CVE-2017-11882)来投放 Visual Basic 脚本 (VBS) 负载,负责下载未知的下一阶段 VBS 恶意软件。
卡巴斯基的最新报告显示,这些组件是所谓的 VBShower 的一部分,然后用于下载和安装 PowerShower 以及 VBCloud。
攻击链的起点是一封钓鱼电子邮件,其中包含一个带有陷阱的 Microsoft Office 文档,打开后会从远程服务器下载格式化为 RTF 文件的恶意模板。然后,它滥用公式编辑器中的另一个漏洞CVE-2018-0802来获取并运行托管在同一服务器上的 HTML 应用程序 (HTA) 文件。
Kupreev 表示:“该漏洞利用 RTF 模板下载 HTA 文件并运行它。它利用备用数据流 (NTFS ADS) 功能在 %APPDATA%RoamingMicrosoftWindows 中提取并创建多个文件。这些文件构成了 VBShower 后门。”
这包括一个启动器,它通过提取和运行内存中的后门模块充当加载器。另一个 VB 脚本是一个清理器,它负责清除“LocalMicrosoftWindowsTemporary Internet FilesContent.Word”文件夹中所有文件的内容,以及它本身和启动器中的文件内容,从而掩盖恶意活动的证据。
感染链
VBShower 后门旨在从具有重启系统功能的命令和控制 (C2) 服务器检索更多 VBS 有效负载;收集有关各个文件夹中的文件、正在运行的进程的名称和调度程序任务的信息;并安装 PowerShower 和 VBCloud。
PowerShower 在功能上与 VBShower 类似,主要区别在于它从 C2 服务器下载并执行下一阶段的 PowerShell 脚本。它还具有 ZIP 存档文件下载器的功能。
卡巴斯基观察到了多达七个 PowerShell 有效载荷。它们每个都执行一项不同的任务,如下所示:
- 通过 Active Directory 服务接口 (ADSI) 获取远程计算机上的本地组及其成员的列表
- 对用户帐户进行字典攻击
- 解压 PowerShower 下载的 ZIP 存档并执行其中包含的 PowerShell 脚本,以执行Kerberoasting攻击,这是一种获取 Active Directory 帐户凭据的后利用技术
- 获取管理员组列表
- 获取域控制器列表
- 获取有关ProgramData文件夹内文件的信息
- 获取本地计算机上的账户策略和密码策略设置
VBCloud 的功能与 VBShower 非常相似,但利用公共云存储服务进行 C2 通信。每次受害用户登录系统时,都会通过计划任务触发它。
该恶意软件可以收集有关磁盘(驱动器号、驱动器类型、媒体类型、大小和可用空间)、系统元数据、与 DOC、DOCX、XLS、XLSX、PDF、TXT、RTF 和 RAR 扩展名匹配的文件和文档以及与 Telegram 消息应用程序相关的文件的信息。
Kupreev 表示:“PowerShower 会探测本地网络并促进进一步渗透,而 VBCloud 会收集有关系统的信息并窃取文件。感染链由多个阶段组成,最终目的是窃取受害者设备中的数据。”
技术报告:
https://securelist.com/cloud-atlas-attacks-with-new-backdoor-vbcloud/115103/
新闻链接:
https://thehackernews.com/2024/12/cloud-atlas-deploys-vbcloud-malware.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
乌克兰国家登记处遭受网络攻击,婚姻登记和房地产交易中断
https://therecord.media/cyberattack-on-ukraine-state-register-disrupts-real-estate-marriages
Cloud Atlas 部署 VBCloud 恶意软件:超过 80% 的目标位于俄罗斯
https://thehackernews.com/2024/12/cloud-atlas-deploys-vbcloud-malware.html
曹县APT组织利用虚假工作机会部署新型“OtterCookie”恶意软件针对开发人员
https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/
曹县LazarusAPT组织被发现利用 CookiePlus 恶意软件攻击核工程师
https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html
曹县黑客今年窃取了价值 13 亿美元的加密货币
https://www.bleepingcomputer.com/news/security/north-korean-hackers-stole-13-billion-worth-of-crypto-this-year/
日美指责曹县黑客抢劫 3.08 亿美元加密货币
https://www.infosecurity-magazine.com/news/us-japan-north-korea-crypto-heist/
伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体
https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html
一般威胁事件
General Threat Incidents
FortiGuard 实验室观察到Ficora 和 Kaiten 僵尸网络活动激增
https://securityaffairs.com/172373/uncategorized/surge-ficora-kaiten-botnets.html
黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙
https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/
网络安全公司的 Chrome 扩展程序被劫持以窃取用户数据
https://www.bleepingcomputer.com/news/security/cybersecurity-firms-chrome-extension-hijacked-to-steal-users-data/
Cl0p 勒索软件袭击了 60 多家使用 Cleo 平台的公司
https://cybernews.com/security/cl0p-ransomware-hits-over-60-companies-using-cleo-platform/
黑客发布第二批被盗思科数据
https://hackread.com/hackers-release-second-batch-of-stolen-cisco-data/
巴西黑客入侵 30 万个账户,勒索 320 万美元比特币
https://thehackernews.com/2024/12/brazilian-hacker-charged-for-extorting.html
ESET报告称,Lumma 信息窃取恶意程序检测量飙升近 400%
https://www.infosecurity-magazine.com/news/infostealers-lumma-stealer/
印度铁路网站本月第二次崩溃,导致全印度特快车票预订中断
https://thecyberexpress.com/irctc-outage-disrupts-tatkal-bookings/
日本航空遭遇网络攻击,导致航班延误和取消
https://cybernews.com/news/japan-airlines-jal-cyberattack-flight-delays-cancellations/
技术问题导致美国航空短暂停飞美国境内航班
https://www.theregister.com/2024/12/24/american_airlines_grounds/
勒索软件攻击导致匹兹堡区域交通运输服务中断
https://securityaffairs.com/172333/cyber-crime/pittsburgh-regional-transit-ransomware-attack.html
漏洞事件
Vulnerability Incidents
Apache MINA CVE-2024-52046:CVSS评分为10的漏洞可通过不安全的序列化实现 RCE
https://thehackernews.com/2024/12/apache-mina-cve-2024-52046-cvss-100.html
Apache 警告 MINA、HugeGraph 和 Traffic Control 存在严重缺陷
https://www.bleepingcomputer.com/news/security/apache-warns-of-critical-flaws-in-mina-hugegraph-traffic-control/
Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评分为 9.9
https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
Palo Alto 发布 PAN-OS DoS 漏洞补丁
https://thehackernews.com/2024/12/palo-alto-releases-patch-for-pan-os-dos.html
Adobe 警告 ColdFusion 存在严重漏洞,并附带 PoC 漏洞代码
https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code/
不安全的物联网云再次来袭:Reyee平台连接设备遭 RCE 攻击
https://claroty.com/team82/research/the-insecure-iot-cloud-strikes-again-rce-on-ruijie-cloud-connected-devices
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...