HomeSecurityΟι hackers Cloud Atlas χρησιμοποιούν ευπάθεια Microsoft Office για διανομή backdoors

Οι hackers Cloud Atlas χρησιμοποιούν ευπάθεια Microsoft Office για διανομή backdoors

Οι hackers Cloud Atlas, που ασχολούνται με την κυβερνοκατασκοπεία, χρησιμοποιούν μια κρίσιμη ευπάθεια του Microsoft Office για να εξαπολύσουν στοχευμένες επιθέσεις, μολύνοντας συσκευές με backdoors. Στοχεύουν, κυρίως, οργανισμούς στην Ανατολική Ευρώπη και την Κεντρική Ασία.

Cloud Atlas hackers  ευπάθεια Microsoft Office

Η ομάδα, η οποία δραστηριοποιείται από το 2014, παρουσίασε πρόσφατα ένα νέο σύνολο εργαλείων που τη βοηθά να αποφεύγει τον εντοπισμό και να παραβιάζει στόχους υψηλής αξίας.

Ο κύριος φορέας μόλυνσης, που χρησιμοποιείται από τους hackers Cloud Atlas, είναι phishing emails με κακόβουλα έγγραφα. Αυτά τα έγγραφα εκμεταλλεύονται μια ευπάθεια στο formula editor του Microsoft Office (CVE-2018-0802) για να ξεκινήσουν μια πολύπλοκη αλυσίδα μόλυνσης που τελικά οδηγεί στην ανάπτυξη προηγμένων backdoors.

Δείτε επίσης: Οι Κινέζοι hackers Winnti στοχεύουν άλλους hackers με το Glutton backdoor

Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας

SecNewsTV 10 Ιανουάριος 2025, 18:44 18:44

Όταν ένα θύμα ανοίγει το κακόβουλο έγγραφο, ενεργοποιεί τη λήψη ενός απομακρυσμένου template file σε μορφή RTF από έναν διακομιστή που ελέγχεται από τους εισβολείς.

Αυτό το template περιέχει ένα exploit για την ευπάθεια Microsoft Office, το οποίο με τη σειρά του κατεβάζει και εκτελεί ένα HTML Application (HTA) file που φιλοξενείται στον ίδιο διακομιστή εντολών και ελέγχου (C2).

Για να αποφύγουν τον εντοπισμό της κακόβουλης δραστηριότητάς τους, οι hackers Cloud Atlas έχουν εφαρμόσει αυστηρούς ελέγχους στη διανομή του κακόβουλου λογισμικού τους. Οι λήψεις αρχείων RTF και HTA περιορίζονται σε συγκεκριμένα time slots και είναι προσβάσιμα μόνο από διευθύνσεις IP εντός των στοχευμένων περιοχών.

Μόλις εκτελεστεί, το αρχείο HTA εξάγει και γράφει πολλά components του VBShower backdoor στο δίσκο του θύματος. Το VBShower, με τη σειρά του, κατεβάζει και εγκαθιστά ένα πρόσθετο backdoor, το PowerShower.

Δείτε επίσης: H DCOM επίθεση αξιοποιεί το Windows Installer για Backdoor πρόσβαση

Επίσης, σε μερικές επιθέσεις, οι hackers Cloud Atlas χρησιμοποιούν και ένα άλλο backdoor, που ονομάζεται VBCloud. Αυτό μπορεί να λαμβάνει και να εκτελεί κακόβουλα plug-ins, να επικοινωνεί με διακομιστές cloud και να εκτελεί διάφορα system tasks. Το VBCloud backdoor εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2023 και έκτοτε έχει υποστεί πολλές παραλλαγές για να διατηρήσει το κρυφό προφίλ του.

Η ενημερωμένη αλυσίδα επίθεσης περιλαμβάνει τώρα τη φόρτωση του VBCloud μέσω του VBShower, το οποίο, όπως προείπαμε, κατεβάζει το PowerShower module. Το PowerShower είναι υπεύθυνο για την ανίχνευση του τοπικού δικτύου και τη διευκόλυνση της περαιτέρω διείσδυσης, ενώ το VBCloud εστιάζει στη συλλογή πληροφοριών συστήματος και στην εξαγωγή σημαντικών αρχείων.

Οι hackers Cloud Atlas στοχεύουν κυρίως οργανισμούς στον κλάδο της αεροδιαστημικής και της διεθνούς οικονομίας, καθώς και κυβερνητικές υπηρεσίες και θρησκευτικές οργανώσεις. Τα θύματα βρίσκονται κυρίως στην Πορτογαλία, τη Ρουμανία, την Τουρκία, την Ουκρανία, τη Ρωσία, το Τουρκμενιστάν, το Αφγανιστάν και το Κιργιστάν.

Δείτε επίσης: Το More_eggs επεκτείνεται με το RevC2 Backdoor και το Venom Loader

Καθώς οι hackers Cloud Atlas συνεχίζουν να βελτιώνουν τα εργαλεία και τις τακτικές τους, οι οργανισμοί θα πρέπει να παραμείνουν σε επαγρύπνηση και να εφαρμόσουν ισχυρά μέτρα ασφαλείας για την προστασία από αυτές τις περίπλοκες εκστρατείες κυβερνοκατασκοπείας.

διανομή backdoors

Προστασία από backdoor

Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από backdoors, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.

Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.

Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.

Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.

Πηγή: cybersecuritynews.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS