Cloud Atlas که از سال 2014 شناخته شده است، اروپای شرقی و آسیای مرکزی را هدف قرار میدهد. قربانیان از طریق ایمیلهای فیشینگ حاوی سند مخرب آلوده میشوند که آسیبپذیری Equation Editor in Microsoft Office با شناسه CVE-2018-0802 را برای دانلود و اجرای کد بدافزار اکسپلویت میکند.
پس از باز شدن، سند یک الگوی مخرب فرمت شده به عنوان فایل RTF را از یک سرور راه دور که توسط مهاجمان کنترل میشود، دانلود میکند که شامل یک اکسپلویت Equation Editor است که فایل HTML Application (HTA) را که بر روی همان سرور C2 میزبانی شده است دانلود و اجرا میکند. بارگیریهای RTF و HTA به شکافهای زمانی خاص و آدرسهای IP قربانی محدود میشوند، همچنین درخواستها فقط از مناطق هدف مجاز هستند.
فایل مخرب HTA چندین فایل را که بخشی از دربپشتی VBShower هستند استخراج و روی دیسک مینویسد. سپس VBShower یک دربپشتی دیگر به نام PowerShower را دانلود و نصب میکند. دربپشتی VBCloud قابلیتهای اصلی فایل اجرایی مانند دانلود و اجرای پلاگینهای مخرب، برقراری ارتباط با سرور ابری و انجام کارهای دیگر را تکرار میکند.
کمپین جدید، VBCloud را از طریق VBShower دانلود میکند که متعاقبا منجر به بارگیری ماژول PowerShower نیز میشود. به طور کلی PowerShower شبکه محلی را بررسی و نفوذ بیشتر را تسهیل میکند، در حالی که VBCloud اطلاعات مربوط به سیستم را جمعآوری میکند و فایلها را سرقت میکند.
https://securelist.com/cloud-atlas-attacks-with-new-backdoor-vbcloud/115103
