The Hacker Newsは12月25日(現地時間)、「Cloud Atlas' Spear-Phishing Attacks Target Russian Agro and Research Companies」において、脅威アクター「Cloud Atlas」がロシアの農工業企業と国営調査会社を標的としたスピアフィッシング攻撃に関与していたと報じた。
これはロシアの独立系サイバーセキュリティ企業「F.A.C.C.T.」が12月19日に公開したブログ「Туман кибервойны: шпионы из Cloud Atlas атакуют российские компании под видом поддержки участников СВО | Блог F.A.C.C.T.」によって明らかになったもの。
ロシア企業を標的としたスピアフィッシング攻撃の概要
The Hacker Newsによると、Cloud Atlasは少なくとも2014年から活動が確認されており、主にロシア、ベラルーシ、アゼルバイジャン、トルコ、スロベニアを標的とした執拗な攻撃を行うスパイグループとされる。今回F.A.C.C.T.はCloud Atlasによる新しい攻撃を確認、防御したとしてその攻撃手法を分析している。
F.A.C.C.T.の研究者によると、今回確認された攻撃では悪意のある添付ファイルを含む標的型メールが使用されたという。この添付ファイルはリモートのテンプレートを必要とするドキュメントファイルで、開くとリモートからテンプレートとしてRTFファイルをダウンロードする。このRTFファイルは「CVE-2017-11882」で追跡される脆弱性を悪用したファイルで、開くとシェルが実行されてリモートからHTA(HTML Application)ファイルをダウンロードして実行する。
HTAファイルはリモートからVBSファイルをダウンロードしてスタートアップに登録。同時に複数のファイルを保存し、wscriptコマンドを使用してVBSファイルを実行する。VBSファイルはダウンロードされた他のファイルから別のVBSファイルを展開、実行する。分析では同様の処理が繰り返され、最終的に脅威アクタのサーバからペイロードをダウンロードして実行することが確認されている。しかしながら、分析では最後にダウンロードするペイロードの取得に失敗しており、最終的にどのような攻撃が行われるかはわかっていない。
Cloud Atlasの攻撃ツールのパワー
Cloud Atlasの攻撃ツールはあまり進化していないと評価されているが、攻撃手法を注意深く検討し、正規のクラウドストレージと文書化されたソフトウェアを使用することで検出を回避するとされる。
F.A.C.C.T.はこの攻撃をプロアクティブな拡張検出と応答(XDR: eXtended Detection and Response)システムにより防御することに成功したとしており、今回と同様の攻撃やその他のさまざまなサイバー攻撃からシステムを保護するために、XDRシステムの導入を推奨している。