Cloud Atlas atakuje rosyjską branżę rolną przed forum branżowym — analiza techniczna, ryzyko i zalecenia - Security Bez Tabu

Cloud Atlas atakuje rosyjską branżę rolną przed forum branżowym — analiza techniczna, ryzyko i zalecenia

Wprowadzenie do problemu / definicja luki

Grupa APT Cloud Atlas (znana także jako Inception) przeprowadziła kolejną kampanię cyberszpiegowską wymierzoną w rosyjski sektor rolno-spożywczy. Ataki wykorzystują przynęty związane z programem nadchodzącego forum rolniczego w Moskwie (30 października 2025 r.) oraz klasyczną podatność CVE-2017-11882 w edytorze równań MS Office, co umożliwia zdalne wykonanie kodu po otwarciu spreparowanego dokumentu. Kampanię jako pierwsza publicznie opisała redakcja The Record, na podstawie analiz rosyjskiej firmy F6.

W skrócie

  • Cel: przedsiębiorstwa agro-przemysłowe w Rosji (co najmniej jedna ofiara z października; wcześniejsze cele we IX–X 2025).
  • Wejście: spear-phishing z dokumentem .doc zawierającym łańcuch prowadzący do eksploatacji CVE-2017-11882 (RTF template injection).
  • Ładunek: rodzina narzędzi Cloud Atlas, m.in. VBShower z dalszym dogrywaniem modułów; w 2024 r. obserwowano także VBCloud/PowerShower.
  • Trend: utrzymywanie wieloetapowej, znanej od lat ścieżki infekcji, okresowe eksperymenty z dostarczaniem ładunku i nietypowymi strefami domen.

Kontekst / historia / powiązania

Cloud Atlas jest aktywna co najmniej od 2014 r., konsekwentnie stosując kampanie spear-phishingowe wobec podmiotów rządowych i sektorów strategicznych w regionie Europy Wschodniej i Azji Centralnej. W ostatnich latach grupa była regularnie łączona z celami w Rosji i Białorusi.

Analiza techniczna / szczegóły luki

Wejście i przynęta. W październiku 2025 r. F6 zarejestrowało wiadomości z konta mkrutij@list[.]ru z załącznikiem „Программа Форум Зерно и масличные.doc”, który faktycznie zawiera program konferencji. Analogiczna fala ze września używała tematu „Бланк ТЧ” i innego nadawcy (glotovao56@yandex[.]ru).

Łańcuch eksploatacji. Dokument-loader pobiera przez mechanizm RTF template plik RTF z exploitem CVE-2017-11882, po czym dociąga droppera (us.txt) i uruchamia VBShower z C2 ukrytym za ścieżkami URL na domenie kommando[.]live. Wcześniejsze łańcuchy korzystały również z hostów regioninvest[.]net i news-freebase[.]com.

CVE-2017-11882. To przepełnienie bufora w Equation Editor (EQNEDT32.exe), pozwalające na RCE bez interakcji poza otwarciem dokumentu. Mimo łatki z 2017 r. podatność pozostaje powszechnie nadużywana.

Moduły po infekcji. W arsenal Cloud Atlas od lat obserwuje się VBShower/PowerShower; w 2024 r. Kaspersky opisał nowy backdoor VBCloud ładowany właśnie przez VBShower (z opcją dociągania pluginów i komunikacją przez chmurę).

Infrastruktura i TTP. F6 wskazuje na nietypowe dla grupy strefy domen (np. .live, .online, .cfd) oraz łączenie ról domen (ładowanie szablonu i C2 na jednym hostu), podczas gdy historycznie rozdzielano etapy (template/C2/PowerShower) między różne domeny.

Praktyczne konsekwencje / ryzyko

  • Łańcuch kompatybilny z „starymi” stacjami: wystarczy niezałatany Office lub legacy EQNEDT32.exe; w środowiskach z uprawnieniami lokalnych adminów skutki obejmują pełne przejęcie hosta.
  • Ryzyko wycieku IP i danych operacyjnych w łańcuchach dostaw rolno-spożywczych (receptury, logistyka, planowanie zasiewów/zbiorów, zakup komponentów). Wskazania F6 sugerują, że część przynęt dotyczyła także podmiotów obronnych.
  • Utrzymywanie się skuteczności „starej” podatności wspierane czynnikiem ludzkim (otwieranie dokumentów) i technicznym (brak twardych zasad makr/załączników).

Rekomendacje operacyjne / co zrobić teraz

  1. Wyłącz i usuń Equation Editor (EQNEDT32.exe) w GPO/SCCM; zweryfikuj binarki Office pod kątem obecności komponentu. Zaimplementuj „Office Attack Surface Reduction” i politykę blokowania RTF z internetowej strefy pochodzenia. (Dotyczy CVE-2017-11882 i vektorów RTF.)
  2. Patch management: potwierdź wdrożenie biuletynów z 2017 r. i późniejszych dla Office; przeprowadź skan podatności pod kątem CVE-2017-11882.
  3. Filtry pocztowe i detekcje:
    • Blokuj/monitoruj rozszerzenia .rtf, .hta, .lnk, .cmd w załącznikach; skanuj „template injection” w RTF.
    • Reguły EDR/IDS na sekwencję: WINWORD.exe -> eqnedt32.exe -> powershell.exe/cscript.exe + nietypowe ruchy do domen podobnych do kommando[.]live, regioninvest[.]net.
  4. Network hardening: egress-allowlist dla serwisów HTTP/HTTPS, TLS inspection z uwzględnieniem nietypowych ścieżek URL; DNS sinkhole dla znanych IoC z raportu F6.
  5. Awareness i procesy: micro-szkolenia przed wydarzeniami branżowymi (podniesione ryzyko przynęt „agenda/plan konferencji”), weryfikacja zaproszeń z out-of-band.
  6. Hunting (przykładowe hipotezy):
    • Wyszukaj dokumenty Word odwołujące się do zewnętrznych szablonów RTF (Event ID/O365 audit).
    • Artefakty VBShower/PowerShower/VBCloud w %TEMP%, harmonogramie zadań i RunKeys; nietypowe User-Agent w Invoke-RestMethod.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z wcześniejszymi opisami kampanii Cloud Atlas (2019–2024) obecna fala nadal opiera się na dobrze znanym łańcuchu (phish → RTF/CVE-2017-11882 → VBShower), ale wyraźniej eksperymentuje z etapami dostarczania i strefami domen. Zbieżne obserwacje pojawiały się w materiałach Kaspersky (stabilne TTP + nowe implanty) oraz Check Point (utrzymanie stałych technik, zmiana przynęt wg bieżącego kontekstu).

Podsumowanie / kluczowe wnioski

  • Cloud Atlas wykorzystuje wydarzenia branżowe jako wiarygodne przynęty i nadal z powodzeniem eksploatuje historyczną lukę CVE-2017-11882.
  • Mimo „wiekowych” technik, efektywność ataków pozostaje wysoka — decydują higiena systemów i czynnik ludzki.
  • Priorytetami defensywnymi są: deprecjacja EQNEDT32, twarde polityki dla dokumentów Office/RTF, egress-kontrola i hunting pod kątem rodziny VBShower/PowerShower/VBCloud.

Źródła / bibliografia

  1. The Record — opis kampanii na sektor rolny (29 października 2025). (The Record from Recorded Future)
  2. F6 — analiza techniczna ostatnich ataków (28 października 2025). (f6.ru)
  3. Kaspersky Securelist — „Cloud Atlas attacks with new backdoor VBCloud” (23 grudnia 2024). (securelist.com)
  4. Palo Alto Networks Unit 42 — analiza CVE-2017-11882 (2017–2018). (Unit 42)
  5. Check Point Research — cele w Rosji i na Białorusi (grudzień 2022). (Check Point Research)