黑客组织Cloud Atlas最新动态:哪里有军事冲突,哪里就有我们

国内新闻 阅读(776)

14: 50: 48胖乎乎的技能

Cloud Atlas,也称为Inception,是一个专门为政府机构和特定行业提供网络间谍活动的黑客组织。

卡巴斯基实验室在上周发布的一份分析报告称,自2014年第一次公开披露Cloud Atlas以来,他们一直在关注该组织的活动。

仅在今年1月至7月,卡巴斯基实验室就能够识别出与该组织相关的一些鱼叉式网络钓鱼活动(使用电子邮件地址,包括:

而且,这些活动主要集中在俄罗斯,中亚和乌克兰等军事冲突地区。

卡巴斯基实验室表示,Cloud Atlas自2018年以来一直没有改变其TTP(战术,工具和程序),仍然依靠现有的策略和恶意软件来入侵目标,例如CVE-2018-0802和CVE的组合。 -2017-部署名为“PowerShower”的后门的漏洞。

但是,最近几个月,Cloud Atlas仍然使用PowerShower后门作为最终负载,但已经改变了感染方法并开始使用HTA(HTML应用程序)和VBS脚本来下载和执行PowerShower。

PowerShower后门简介

PowerShower最初由网络安全公司Palo Alto Networks命名并公开披露,本质上是一种恶意PowerShell脚本,旨在接收PowerShell命令和VBS模块并在受感染的计算机上执行它们。

PowerShower只接收三个命令,即使它是最新版本:

0x80(Ascii“P”) - 这是.zip存档的第一个字节(.zip文件打开,因为文本始终以“PK”开头),PowerShower将接收的内容保存到“TEMP”文件夹。在下面的“PG.zip”文件中;0x79(Ascii“O”) - 它是“恢复出错”的第一个字节。 PowerShower会将收到的内容保存到“APPDATAMicrosoftWord”文件夹中的“[A-Za-z] {4} .vbs”脚本,并使用Wscript.exe执行;默认值 - 如果第一个字节为If0x80或0x79不匹配,则内容将保存到“TEMP”文件夹中的temp.xml文件中。 PowerShower然后加载文件的内容,解析XML以执行PowerShell命令,并调用IEX。执行该命令后,PowerShower将删除temp.xml并通过HTTP POST请求将“TEMP”文件夹中pass.txt文件的内容上传到C2服务器。

PowerShower包括以下模块:

PowerShell文件窃取程序模块 - 它使用7zip(包含在PG.zip文件中)打包并上传到C2服务器所有.txt,pdf,xls和.doc,这些都是用户在过去两次修改过的天。文件。侦察模块 - 用于检索活动进程,当前用户和当前Windows域的列表。密码窃取程序模块 - 它使用开源工具LaZagne从受感染的系统中检索密码。

新的VBS脚本 VBShower后门

如上所述,Cloud Atlas改变了最近活动中的感染方式。感染后,不再依赖PowerShower,执行远程服务器上托管的HTA以在受感染的计算机上发布三个不同的文件:

卡巴斯基实验室的一个名为“VBShower”的后门; VBShower的发射器; HTA生成的文件,包含当前用户,域名,计算机名称和活动进程列表等数据。

使用这种新的感染方法,Cloud Atlas似乎想要绕过基于IOC的防御方案,因为每行代码对于受感染的计算机是唯一的,并且无法通过主机上的文件散列进行搜索。

VBShower后门具有与PowerShower相同的设计理念。通过删除“%APPDATA%. LocalTemporary Internet FilesContent.Word”和“%APPDATA%. Local SettingsTemporary Internet FilesContent.Word”中包含的所有文件,尝试使取证分析复杂化。

卡巴斯基实验室表示,他们现在观察到VBShower将两个VBS文件下载到受感染的计算机,一个是PowerShower安装程序,另一个是Cloud Atlas五年前使用的模块化后门。安装程序,通过Webdav与基于HTTP 1.1的通信协议与云存储服务进行通信。

结论

总的来说,Cloud Atlas的活动主要集中在东欧和中亚,主要是通过鱼叉式网络钓鱼电子邮件传播自制恶意软件。

与其他黑客组织不同,Cloud Atlas很少使用开源工具和恶意软件,很少修改自己的恶意软件。例如,在最近的活动中,该组织仍在使用五年前使用并且尚未修改的模块化后门。

Cloud Atlas,也称为Inception,是一个专门为政府机构和特定行业提供网络间谍活动的黑客组织。

卡巴斯基实验室在上周发布的一份分析报告称,自2014年第一次公开披露Cloud Atlas以来,他们一直在关注该组织的活动。

仅在今年1月至7月,卡巴斯基实验室就能够识别出与该组织相关的一些鱼叉式网络钓鱼活动(使用电子邮件地址,包括:

而且,这些活动主要集中在俄罗斯,中亚和乌克兰等军事冲突地区。

卡巴斯基实验室表示,Cloud Atlas自2018年以来一直没有改变其TTP(战术,工具和程序),仍然依靠现有的策略和恶意软件来入侵目标,例如CVE-2018-0802和CVE的组合。 -2017-部署名为“PowerShower”的后门的漏洞。

但是,最近几个月,Cloud Atlas仍然使用PowerShower后门作为最终负载,但已经改变了感染方法并开始使用HTA(HTML应用程序)和VBS脚本来下载和执行PowerShower。

PowerShower后门简介

PowerShower最初由网络安全公司Palo Alto Networks命名并公开披露,本质上是一种恶意PowerShell脚本,旨在接收PowerShell命令和VBS模块并在受感染的计算机上执行它们。

PowerShower只接收三个命令,即使它是最新版本:

0x80(Ascii“P”) - 这是.zip存档的第一个字节(.zip文件打开,因为文本始终以“PK”开头),PowerShower将接收的内容保存到“TEMP”文件夹。在下面的“PG.zip”文件中;0x79(Ascii“O”) - 它是“恢复出错”的第一个字节。 PowerShower会将收到的内容保存到“APPDATAMicrosoftWord”文件夹中的“[A-Za-z] {4} .vbs”脚本,并使用Wscript.exe执行;默认值 - 如果第一个字节为If0x80或0x79不匹配,则内容将保存到“TEMP”文件夹中的temp.xml文件中。 PowerShower然后加载文件的内容,解析XML以执行PowerShell命令,并调用IEX。执行该命令后,PowerShower将删除temp.xml并通过HTTP POST请求将“TEMP”文件夹中pass.txt文件的内容上传到C2服务器。

PowerShower包括以下模块:

PowerShell文件窃取程序模块 - 它使用7zip(包含在PG.zip文件中)打包并上传到C2服务器所有.txt,pdf,xls和.doc,这些都是用户在过去两次修改过的天。文件。侦察模块 - 用于检索活动进程,当前用户和当前Windows域的列表。密码窃取程序模块 - 它使用开源工具LaZagne从受感染的系统中检索密码。

新的VBS脚本 VBShower后门

如上所述,Cloud Atlas改变了最近活动中的感染方式。感染后,不再依赖PowerShower,执行远程服务器上托管的HTA以在受感染的计算机上发布三个不同的文件:

卡巴斯基实验室的一个名为“VBShower”的后门; VBShower的发射器; HTA生成的文件,包含当前用户,域名,计算机名称和活动进程列表等数据。

使用这种新的感染方法,Cloud Atlas似乎想要绕过基于IOC的防御方案,因为每行代码对于受感染的计算机是唯一的,并且无法通过主机上的文件散列进行搜索。

VBShower后门具有与PowerShower相同的设计理念。通过删除“%APPDATA%. LocalTemporary Internet FilesContent.Word”和“%APPDATA%. Local SettingsTemporary Internet FilesContent.Word”中包含的所有文件,尝试使取证分析复杂化。

卡巴斯基实验室表示,他们现在观察到VBShower将两个VBS文件下载到受感染的计算机,一个是PowerShower安装程序,另一个是Cloud Atlas五年前使用的模块化后门。安装程序,通过Webdav与基于HTTP 1.1的通信协议与云存储服务进行通信。

结论

总体而言,Cloud Atlas的活动主要集中在东欧和中亚,主要通过鱼叉式网络钓鱼电子邮件传播自制恶意软件。

与其他黑客组织不同,Cloud Atlas很少使用开源工具和恶意软件,并且很少大幅修改自己的恶意软件。例如,在最近的活动中,该组织一直在使用五年前已经使用过的模块化后门,并且没有对它们进行任何更改。

——