Cloud Atlas脅威グループは、東欧および中央アジアを標的とする10年にわたるキャンペーンを継続しており、巧妙な感染チェーンを用いて旧来のMicrosoft Officeの脆弱性を悪用しています。
2014年から活動している同グループは、2025年を通じて攻撃手法を洗練させ、綿密に組織されたフィッシング作戦により複数のバックドアを展開しています。
Cloud Atlasは、悪意のあるDOCまたはDOCX添付ファイルを含むフィッシングメールを通じて攻撃を開始します。被害者がこれらの文書を開くと、リモートサーバーから悪意のあるRTFテンプレートがダウンロードされ、Microsoft Officeの数式エディターに存在するCVE-2018-0802が悪用されます。
この脆弱性によりHTMLアプリケーション(HTA)ファイルの実行が可能となり、侵害されたシステム上で初期の足掛かりが確立されます。
攻撃インフラは運用セキュリティへの配慮を示しており、悪意のあるテンプレートおよびHTAファイルは攻撃者が管理するサーバー上でホストされ、時間ベースおよびIP制限付きのアクセス制御が実装されています。
いったんシステムが感染すると、ダウンロードリンクはアクセス不能となり、フォレンジック分析が困難になるとともに、セキュリティ研究が妨げられます。
悪用に成功すると、HTAファイルは複数のVBSファイルを介してVBShowerバックドアのコンポーネントを展開します。
その後、VBShowerはPowerShower、VBCloud、CloudAtlasという3つの追加バックドアのインストールを統括します。各バックドアは冗長な機能を提供しつつ、特化した機能も備えています。
VBShowerは主要なオーケストレーターとして機能し、システム偵察、クラウドサービスの到達性確認、二次インプラントの導入を行う追加のVBスクリプトをダウンロードして実行します。
このバックドアは進化し、サイズに関係なくダウンロードしたペイロードをメモリ上で直接実行できるようになっており、フォレンジック痕跡を生む事前のファイル書き込みを不要にしています。
PowerShowerは、Adobeの更新メカニズムに偽装したスケジュールタスクを通じてインストールされるPowerShellベースのバックドアとして動作します。
このマルウェアはレジストリの変更を用いてコンソールウィンドウを画面外に隠し、Base64でエンコードされたスクリプトを実行してC2(コマンド&コントロール)インフラと通信します。
VBCloudは、ランチャースクリプトと暗号化されたペイロードファイルから成る2コンポーネント構成を採用しています。ランチャーはPRGAを用いたRC4で復号し、メインのバックドア本体を実行します。バックドア本体はC2サーバーと独立して通信し、追加のペイロードをダウンロードします。
このバックドアは設定データにAES-256-CBC暗号化を使用し、WebDAV対応のクラウドサービスと通信して暗号化されたプラグインを取得します。
確認されたプラグインには、文書の持ち出しを行うFileGrabber、Chromium系ブラウザの認証情報を狙うPasswordStealer、システム偵察用のInfoCollector、そしてリモートコード実行やレジストリ操作を含む汎用的な処理を担うCommonが含まれます。
Kasperskyのテレメトリは、ロシアおよびベラルーシの通信、建設、政府、産業分野にわたる組織が継続的に標的となっていることを示しており、2025年を通じて観測された活動はCloud Atlasの持続的な運用能力を裏付けています。
翻訳元: https://cyberpress.org/office-application-flaws/