2014年から活動している脅威グループ「Cloud Atlas」は、旧来のMicrosoft Officeの脆弱性を悪用する高度な攻撃を通じて、東欧および中央アジアの組織に対し引き続き重大なリスクをもたらしています。
セキュリティ研究者は、2025年上半期を通じて展開された同グループの拡張された武器庫と進化する感染チェーンを記録し、これまで記述されていなかったインプラントや攻撃手法を明らかにしました。
Cloud Atlasは、悪意のあるWord文書(DOC/DOCX添付)を含む巧妙に作り込まれたフィッシングメールを通じて攻撃を開始します。
これらの文書を開くと、Microsoft OfficeのEquation Editorプロセスに存在する脆弱性CVE-2018-0802を悪用する連鎖的な感染チェーンが起動します。
この7年前の欠陥はいまなお有効であり、企業環境における未パッチのレガシーシステムがもたらす持続的なリスクを浮き彫りにしています。
悪用プロセスは体系的で、意図的に隠蔽されています。被害者が悪意のある文書を開くと、リモートテンプレートがダウンロードされ、処理されます。
RTFファイルとして整形された文書には、HTMLアプリケーション(HTA)ファイルをダウンロードして実行する実際のエクスプロイトコードが含まれています。
攻撃者は悪意のあるファイルサーバーに対して時間ベースおよびIPベースのアクセス制限を設け、フォレンジック分析を困難にするとともに、自らのインフラの露出を抑えています。
多層型マルウェア基盤
初期のHTAファイルはステージング機構として機能し、複数のVBSファイルを抽出・生成します。これらは、同グループの主要な初期侵入ツールであるVBShowerバックドアを構成します。
その後VBShowerは、PowerShower、VBCloud、CloudAtlasという3つの追加バックドアの展開を統括します。このモジュール型アプローチにより、永続的なアクセス維持における柔軟性と冗長性が確保されます。
感染フローは概ね同グループの2024年の攻撃パターンを踏襲していますが、ファイル命名規則や実行方法に段階的な改善と変更が加えられています。
VBShowerは、ペイロードのサイズに関係なくダウンロードしたVBスクリプトを実行できるよう強化され、実行前にファイル寸法を確認していた従来の制限が取り除かれました。
新たなペイロードコンポーネントは、同グループの監視能力の拡大を示しています。VBShowerのペイロード亜種は、作成タイムスタンプ、プロセス名、コマンドライン引数など、詳細なプロセス情報を収集します。
追加のペイロードは、Yandex WebDAVなどを含むクラウドサービスに対して体系的なチェックを行い、到達性やHTTP応答を記録して、利用可能なコマンド&コントロール(C2)チャネルを特定します。
同グループは、複数のバックドアにわたって高度なファイル窃取メカニズムを展開しています。FileGrabberコンポーネントは、システムディレクトリおよび許可されたファイル名を除外しつつ、過去30日以内に変更された文書をシステム上でスキャンします。
ファイルサイズ制限(1KB〜3MB)は、過剰なデータ転送による検知を回避しながら、攻撃者がデータ収集を優先付けするのに役立ちます。
CloudAtlas:高度な永続バックドア
CloudAtlasバックドアは同グループで最も高度なコンポーネントであり、正規アプリケーションに対するDLLハイジャック攻撃を利用します。
このバックドアはVLCメディアプレーヤーを意図せぬローダーとして利用し、悪意のあるライブラリを正規のプラグインに偽装します。
通信はWebDAVプロトコルを通じてクラウドサービスと行われ、システム情報、ユーザー名、ボリュームデータを含む暗号化ビーコンが送信されます。
詳細な技術的指標、YARAルール、および追加の脅威インテリジェンスは、企業顧客向けのKaspersky Intelligence Reporting Serviceを通じて提供されています。
CloudAtlasのプラグインは標的に応じた機能を提供します。FileGrabberはローカルディスク、リムーバブルメディア、ネットワークリソースから文書を窃取し、InfoCollectorはシステムおよびネットワーク構成の詳細を収集します。PasswordStealerはChrome App-Bound Encryption Decryptionユーティリティを用いてChromium系ブラウザから認証情報を抽出し、Common Pluginはレジストリ操作やリモートファイル実行を含む任意のコマンドを実行します。
2025年初頭のアクティブなキャンペーンは、ロシアおよびベラルーシの組織を標的としており、通信、建設、政府機関、製造工場など多様な分野に及んでいます。
同グループの10年にわたる活動履歴は、高価値標的に対する運用上の有効性を維持しつつ、攻撃手法を進化させる顕著な持続性と適応力を示しています。
CVE-2018-0802が引き続き有効であることは、レガシーシステムのパッチ適用とアプリケーションの堅牢化が極めて重要であることを強調しています。
組織は、Officeマクロの制限、フィッシング指標に対するメールフィルタリング、VBSスクリプト実行の挙動監視を実装すべきです。
翻訳元: https://gbhackers.com/office-vulnerabilities/
