Cloud Atlas, un gruppo di cyber spionaggio attivo dal 2014 e noto anche come Clean Ursa, Inception, Oxygen e Red October, è stato collegato a una serie di attacchi di spear phishing contro imprese russe. Secondo un rapporto di F.A.C.C.T., un’azienda indipendente di cybersecurity formata dopo l’uscita formale di Group-IB dalla Russia, i bersagli includono un’impresa agro-industriale russa e una società di ricerca di proprietà statale.
Tecniche e Metodi di Attacco
Gli attacchi di Cloud Atlas sono caratterizzati da campagne persistenti mirate a Russia, Bielorussia, Azerbaigian, Turchia e Slovenia. Nel dicembre 2022, Check Point e Positive Technologies hanno dettagliato sequenze di attacchi multi-stadio che portano al dispiegamento di un backdoor basato su PowerShell chiamato PowerShower, oltre a payload DLL capaci di comunicare con un server controllato dall’attore.
Il punto di partenza è un messaggio di phishing con un documento esca che sfrutta CVE-2017-11882, una vulnerabilità di corruzione della memoria di sei anni fa nell’Editor di Equazioni di Microsoft Office, per avviare l’esecuzione di payload dannosi, una tecnica impiegata da Cloud Atlas fin dal 2018.
Metodi di Evasione e Persistenza
A differenza di molti altri gruppi di intrusione, Cloud Atlas non ha scelto di utilizzare impianti open source nelle sue recenti campagne, per essere meno discriminante. F.A.C.C.T. ha descritto l’ultima catena di uccisione come simile a quella descritta da Positive Technologies, con l’exploit di CVE-2017-11882 tramite iniezione di template RTF che apre la strada a shellcode responsabile del download e dell’esecuzione di un file HTA offuscato. Le email provengono dai popolari servizi di posta elettronica russi Yandex Mail e VK’s Mail.ru.
L’applicazione HTML dannosa successivamente lancia file Visual Basic Script (VBS) che sono in ultima analisi responsabili del recupero e dell’esecuzione di un codice VBS sconosciuto da un server remoto.
Implicazioni e Impatto
Positive Technologies ha osservato che il toolkit di Cloud Atlas non è cambiato per anni e che il gruppo cerca di nascondere il suo malware dai ricercatori utilizzando richieste di payload una tantum e validandole. Il gruppo evita gli strumenti di rilevamento di attacchi di rete e file utilizzando storage cloud legittimo e funzionalità software ben documentate, in particolare in Microsoft Office.
Questo sviluppo arriva mentre l’azienda ha affermato che almeno 20 organizzazioni situate in Russia sono state compromesse usando Decoy Dog, una versione modificata di Pupy RAT, attribuendola a un attore di minaccia persistente avanzato chiamato Hellhounds.