Hack Alerta

Cloud Atlas: novos backdoors e cadeia de ataque em H1 2025

Por Redação Hack Alerta Publicado em 19/12/2025 08:01 Riscos e Ameaças Tempo de leitura: 5 min

Kaspersky descreve a cadeia de ataque do grupo Cloud Atlas no 1º semestre de 2025: phishing com exploit do Equation Editor (CVE‑2018‑0802) entrega VBShower, VBCloud, PowerShower e CloudAtlas. O backdoor usa DLL hijacking via VLC e C2 por WebDAV; IoCs e domínios acompanham o relatório.

Resumo técnico e alcance

A Kaspersky publicou um relatório detalhado descrevendo a atividade do grupo conhecido como Cloud Atlas (ativo desde 2014) durante o primeiro semestre de 2025. A análise identifica uma cadeia de infecção baseada em documentos de phishing que exploram uma vulnerabilidade antiga do Microsoft Office Equation Editor (CVE-2018-0802) para entregar uma família de backdoors — VBShower, VBCloud, PowerShower e o próprio CloudAtlas — e gerenciar implantes por serviços na nuvem via WebDAV.

Descoberta e vetor inicial

Segundo a Kaspersky, o ponto de partida das campanhas permanece o mesmo: e-mails de spear‑phishing com anexos DOC(X)/RTF. Ao abrir o documento, um template malicioso (RTF com exploit do Equation Editor) faz o download de um arquivo HTA, que cria múltiplos scripts VBS no sistema da vítima. Esses VBS compõem o instalador/launcher conhecido como VBShower, responsável por baixar e instalar os demais implantes.

Implantes e arquitetura modular

O relatório descreve quatro implantes principais:

  • VBShower — componente inicial, executa scripts adicionais em contexto e orquestra o download/execução de payloads subsequentes.
  • VBCloud — entregue como um launcher (ex.: MicrosoftEdgeUpdate.vbs) e um corpo encriptado (upgrade.mds); utiliza RC4 (com PRGA) para decriptar seu payload e comunica‑se de forma independente com o C2.
  • PowerShower — backdoor baseado em PowerShell que roda em loop e busca payloads adicionais no servidor de comando; versões recentes removem arquivos temporários e retornam resultados via memória.
  • CloudAtlas — backdoor nativo entregue via técnica de DLL hijacking usando uma instalação legítima do VLC como loader; o payload protegido (arquivo "chambranle") é descriptografado em memória e executado como DLL.

Mecanismos de persistência e execução

Os scripts descritos criam tarefas agendadas (ex.: MicrosoftEdgeUpdateTask, MicrosoftVLCTaskMachine, MicrosoftAdobeUpdateTaskMachine) e registram artefatos no sistema. Em alguns casos, o grupo altera chaves do registro para manter janelas de console fora da tela, dificultando a detecção visual. O CloudAtlas usa um fluxo de execução que extrai DLLs em memória, decripta configurações com AES‑256‑CBC e interage com C2 via WebDAV.

Comandos, plugins e capacidades de exfiltração

O backdoor CloudAtlas suporta um mecanismo de plugins: o payload contém um bloco binário com um número de comando seguido por uma DLL plugin. Entre as capacidades documentadas estão:

  • FileGrabber: roubo de arquivos locais, de mídias removíveis e recursos de rede montados, com regras de exclusão por caminho, tamanho e data de modificação.
  • PasswordStealer: extração de cookies e credenciais de navegadores Chromium, incluindo uso de utilitários que fazem parte do ecossistema "Chrome App‑Bound Encryption Decryption".
  • InfoCollector e comandos gerais para executar utilities do sistema (net, ipconfig, arp) e obter inventário de processos, produtos instalados e drives lógicos.

Gestão por serviços na nuvem

Uma característica ressaltada pela Kaspersky é o uso de serviços em nuvem como canal de C2: o backdoor cria coleções/diretórios via MKCOL e utiliza métodos WebDAV (PROPFIND, GET) para listar, baixar, executar e apagar payloads. Os beacon files e payloads são cifrados com AES‑256‑CBC — a config contém URLs de serviço de nuvem e credenciais quando presentes.

Escopo de vítimas

A telemetria citada pela Kaspersky indica vítimas na Rússia e na Bielorrússia, com atividade observada desde o início de 2025. Setores afetados incluem telecomunicações, construção, órgãos governamentais e instalações industriais. A Kaspersky ressalta que as ferramentas e fluxos descritos são usados principalmente contra alvos regionais específicos.

Indicadores e recomendações

O relatório inclui indicadores de compromisso (hashes de arquivos, domínios e URLs) e exemplos de sinais operacionais — entre eles vários nomes de arquivos (upgrade.mds, pytest.dll, chambranle) e domínios usados para distribuição e C2 (ex.: securemodem[.]com, billet‑ru[.]net, entre outros). A Kaspersky orienta bloqueio e monitoramento de atividade WebDAV suspeita, validação de integridade de binários locais, revisão de tarefas agendadas e varredura por artefatos como scripts VBS e tarefas com nomes semelhantes aos citados.

O que falta e limites da análise

A Kaspersky informa que, em alguns casos, não foi possível recuperar o template RTF original — presumem que os links ficam temporariamente disponíveis aos alvos. A lista de indicadores é válida ao tempo de publicação; equipes incident response devem correlacionar com telemetria própria e priorizar conteúdo conforme risco.

Relevância para SOCs e CISOs

Para equipes de detecção e resposta, os pontos mais relevantes são: identificar documentos com exploração do Equation Editor, monitorar criação de tarefas agendadas e execuções de wscript/powershell com argumentos ofuscados, e inspecionar conexões WebDAV para serviços de terceiros. A modularidade dos implantes permite exfiltração seletiva e execução de plugins sob demanda — características que exigem controles de prevenção de perda de dados e resposta rápida à presença de processos de loader anômalos.

Baseado em publicação original de Kaspersky
Tags: #apt #cloud-atlas #vbs #vbcloud #powershower #vbshower #webdav #phishing #malware
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar