Redacción 15 agosto, 2019
Kaspersky analizó el mercado de las criptomonedas

También conocido como Inception, Cloud Atlas es un actor que tiene una larga historia de operaciones de ciberespionaje dirigidas a industrias y entidades gubernamentales.

Reportamos Cloud Atlas por primera vez en 2014 y hemos estado siguiendo sus actividades desde entonces.

Desde principios de 2019 hasta julio, hemos podido identificar diferentes campañas de phishing relacionadas con este actor de amenazas centradas principalmente en Rusia, Asia Central y regiones de Ucrania con conflictos militares en curso.

Países seleccionados recientemente por Cloud Atlas

Cloud Atlas no ha cambiado sus TTP (Herramientas y procedimientos tácticos) desde 2018 y sigue confiando en sus tácticas y malware existentes para comprometer objetivos de alto valor.

La rama de Windows del conjunto de intrusos Cloud Atlas todavía usa correos electrónicos de phishing para apuntar a víctimas de alto perfil. Estos correos electrónicos están diseñados con documentos de Office que usan plantillas remotas maliciosas, incluidas en la lista blanca por víctimas, alojadas en servidores remotos.

Describimos una de las técnicas utilizadas por Cloud Atlas en 2017 y nuestros colegas de Palo Alto Networks también escribieron sobre ella en noviembre de 2018.

Anteriormente, Cloud Atlas dejó caer su implante “validador” llamado “PowerShower” directamente, después de explotar la vulnerabilidad de la ecuación de Microsoft (CVE-2017-11882) mezclada con CVE-2018-0802.

Durante los últimos meses, hemos visto una nueva cadena de infección, que involucra una HTA polimórfica, un implante VBS nuevo y polimórfico destinado a ejecutar PowerShower, y la puerta trasera modular de segunda etapa Cloud Atlas que revelamos hace cinco años en nuestro primer blog sobre ellos y que permanece sin cambios.

Conozcamos PowerShower

PowerShower, nombrado y previamente revelado por Palo Alto Networks en su blogpot (ver arriba), es una pieza maliciosa de PowerShell diseñada para recibir módulos PowerShell y VBS para ejecutar en la computadora local.

Cloud Atlas ha utilizado este malware desde octubre de 2018 como validador y ahora como una segunda etapa. Las diferencias en las dos versiones residen principalmente en características anti-forenses para la versión de validación de PowerShower.

La puerta trasera PowerShower, incluso en sus desarrollos posteriores, toma 3 comandos:

Comando Descripción
0x80 (Ascii “P”) Es el primer byte de la magia PK. El implante guardará el contenido recibido como un archivo ZIP en% TEMP% \ PG.zip.
0x79 (Ascii “O”) Es el primer byte de “Error de reanudación”. El implante guarda el contenido recibido como un script VBS en “% APPDATA% \ Microsoft \ Word \ [A-Za-z] {4} .vbs” y lo ejecuta utilizando Wscript.exe
Predeterminado Si el primer byte no coincide con 0x80 o 0x79, el contenido se guarda como un archivo XML en “% TEMP% \ temp.xml”. Después de eso, el script carga el contenido del archivo, analiza el XML para ejecutar los comandos de PowerShell, los decodifica desde Base64 e invoca IEX.
Después de ejecutar los comandos, el script elimina “% TEMP% \ temp.xml” y envía el contenido de “% TEMP% \ pass.txt” al C2 a través de una solicitud HTTP POST

Algunos módulos implementados por PowerShower se han visto en la naturaleza, como:

Un módulo de robo de documentos de PowerShell que utiliza 7zip (presente en el PG.zip recibido) para empacar y filtrar documentos * .txt, * .pdf, * .xls o * .doc menores de 5MB modificados durante los últimos dos días;
Un módulo de reconocimiento que recupera una lista de los procesos activos, el usuario actual y el dominio actual de Windows. Curiosamente, esta característica está presente en PowerShower pero la condición que lleva a la ejecución de esa característica nunca se cumple en las versiones recientes de PowerShower;
Un módulo de robo de contraseñas que utiliza la herramienta de código abierto LaZagne para recuperar contraseñas del sistema infectado.

Todavía no hemos visto caer un módulo VBS por este implante, pero creemos que uno de los scripts VBS que dejó caer PowerShower es un cuentagotas de la puerta trasera de la segunda etapa del grupo documentada en nuestro artículo en 2014.

Y su nuevo amigo, VBShower

Durante sus campañas recientes, Cloud Atlas utilizó una nueva cadena de infección “polimórfica” que no dependía más de PowerShower directamente después de la infección, sino que ejecutaba una HTA polimórfica alojada en un servidor remoto, que se usa para colocar tres archivos diferentes en el sistema local.

Una puerta trasera que llamamos VBShower que es polimórfica y reemplaza a PowerShower como un validador;
Un pequeño lanzador para VBShower;
Un archivo calculado por la HTA que contiene datos contextuales como el usuario actual, el dominio, el nombre de la computadora y una lista de procesos activos.

Esta cadena de infección “polimórfica” permite al atacante intentar evitar la defensa basada en IoC, ya que cada código es único por víctima, por lo que no se puede buscar a través del hash de archivo en el host.

Cloud Atlas
Cloud Atlas

La puerta trasera VBShower tiene la misma filosofía de la versión de validación de PowerShower. Su objetivo es complicar el análisis forense al intentar eliminar todos los archivos contenidos en “% APPDATA% \ .. \ Local \ Archivos temporales de Internet \ Content.Word” y “% APPDATA% \ .. \ Configuración local \ Archivos temporales de Internet \ Palabra de contenido\”.

Una vez que estos archivos se han eliminado y se logra su persistencia en el registro, VBShower envía el archivo de contexto calculado por la HTA al servidor remoto e intenta obtener a través de HTTP un script VBS para ejecutar desde el servidor remoto cada hora.

Al momento de escribir, VBShower ha visto dos archivos VBS empujados a la computadora de destino. El primero es un instalador para PowerShower y el segundo es un instalador para la puerta trasera modular de segunda etapa Cloud Atlas que se comunica con un servicio de almacenamiento en la nube a través de Webdav.

Ultimas palabras

Cloud Atlas sigue siendo muy prolífico en Europa del Este y Asia Central.

Las campañas masivas de phishing con lanza del actor continúan utilizando sus métodos simples pero efectivos para comprometer sus objetivos.

A diferencia de muchos otros conjuntos de intrusión, Cloud Atlas no ha elegido usar implantes de código abierto durante sus campañas recientes, para ser menos discriminatorio.

Más interesante aún, este conjunto de intrusión no ha cambiado su puerta trasera modular, incluso cinco años después de su descubrimiento.

IoC

Algunos correos electrónicos utilizados por los atacantes
infocentre.gov@mail.ru
middleeasteye@asia.com
simbf2019@mail.ru
world_overview@politician.com
infocentre.gov@bk.ru

Persistencia del registro de VBShower

Clave: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ [a-f0-9A-F] {8}
Valor: wscript // B “% APPDATA% \ [A-Za-z] {5} .vbs”

VBShower paths

% APPDATA% \ [A-Za-z] {5} .vbs.dat
% APPDATA% \ [A-Za-z] {5} .vbs
% APPDATA% \ [A-Za-z] {5} .mds

VBShower C2s

176.31.59.232
144.217.174.57

 

Por Marcelo Lozano – General Publisher IT Connect Latam

A %d blogueros les gusta esto: