Группировка «Облачный атлас» атакует Россию через новую дыру в Microsoft Office

Группа Cloud Atlas атакует российские предприятия с помощью нового бэкдора, который эксплуатирует уязвимость в редакторе формул Microsoft Office, выявленную и исправленную ещё шесть лет назад.

Формула атаки

APT-группировка Cloud Atlas («Облачный атлас») начала применять в кибератаках ранее неизвестный бэкдор под названием VBCloud. Об этом сообщает «Лаборатория Касперского». Пока известно о нескольких десятках жертв, пострадавших на протяжении 2024 г. В большинстве своём жертвы располагаются в России.

«Заражения происходят с помощью фишинговых писем, содержащих вредоносный документ, который использует уязвимость в редакторе формул (CVE-2018-0802) для скачивания и выполнения вредоносного кода», – говорится в публикации SecureList.

При открытии документа с удаленного сервера, контролируемого злоумышленниками, загружается вредоносный шаблон в виде RTF-файла.

Группа Cloud Atlas атакует российские предприятия с помощью нового бэкдора, который эксплуатирует старую уязвимость в редакторе формул Microsoft Office

Он содержит эксплойт для редактора формул (Equation Editor), который, в свою очередь, скачивает и выполняет файл HTML Application (HTA), находящийся на том же контрольном сервере.

Скачивание RTF-шаблонов и HTA-файлов ограничено как по времени, так и по IP-адресам жертв: разрешаются запросы только из целевых регионов.

Вредоносный HTA-файл распаковывает и записывает на диск несколько файлов, каждый из которых – часть бэкдора VBShower. После этого VBShower скачивает и устанавливает другой бэкдор, PowerShower. Эта схема практически не меняется с 2019 года, – пишут исследователи.

Ранее PowerShower использовался для скачивания и запуска исполняемого файла – DLL-библиотеки, которая подгружала в память атакованной системы исполняемые модули. В том числе, плагин, предназначенный для вывода файлов с расширениями *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.rtf, *.jpg, *.jpeg.

Но теперь функции, сходные с теми, которые выполнял PowerShower, выполняет новый бэкдор VBCloud.

Шпионаж неизвестного происхождения

«Впервые мы обнаружили атаки с этим имплантом в августе прошлого года и с тех пор отмечаем множество различных модификаций бэкдора, позволяющих ему оставаться незамеченным. В новой кампании VBCloud загружается при помощи бэкдора VBShower, который также скачивает модуль PowerShower, – пишут исследователи. – PowerShower используется для исследования локальной сети и дальнейшего проникновения, а VBCloud – для сбора информации о текущей системе и кражи файлов».

Чем удобны компактные ПК и какие задачи они позволяют решать

Техника

Cloud Atlas (также известная как Clean Ursa, Inception, Oxygen и Red October) – группа, активная с 2014 г. Большинство её атак нацелены на страны Восточной Европы и Центральной Азии. В последние годы наиболее активно были атакованы цели в РФ, Беларуси и Приднестровье, причём в прошлом Cloud Atlas эксплуатировали другую уязвимость в Редакторе формул Microsoft – CVE-2017-11882.

«Обе уязвимости, как следует из их индексов, старые, и обе относятся к версиям Microsoft Office, датированным периодом между серединой двухтысячных и серединой 2010-х годов, – отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Это может указывать, что операторы кампании хорошо знают, что именно эти пакеты используются в целевых организациях, и что их там обновляют настолько редко, чтобы уязвимости шести-семилетней давности оставались незакрытыми».

Эксперт добавила, что всё же это не позволяет однозначно установить принадлежность группы Cloud Atlas.

В ходе последней выявленной кампании, начавшейся в 2023 г., злоумышленники в основном атаковали цели в России – 80% жертв располагаются там. Остальные пострадавшие – это организации в Белоруссии, Канаде, Молдавии, Израиле, Киргизии, Турции и во Вьетнаме. Все атаки начинаются с фишинговых писем.