脅威グループ「Cloud Atlas」の動向
2014年から活動している脅威グループCloud Atlasは、東欧および中央アジアの組織に対し、レガシーなMicrosoft Officeの脆弱性を悪用した高度な攻撃を仕掛け、大きな脅威を与え続けています。セキュリティ研究者らは、2025年前半を通じて展開されたグループの拡大された兵器庫と進化する感染チェーンを文書化し、これまで報告されていなかったインプラントや攻撃手法を明らかにしました。
巧妙な初期感染プロセス
Cloud Atlasは、悪意のあるWord文書(DOC/DOCX添付ファイル)を含む巧妙に作成されたフィッシングメールを通じて攻撃を開始します。これらの文書が開かれると、Microsoft Office Equation Editorプロセスの脆弱性であるCVE-2018-0802を悪用する感染チェーンが引き起こされます。この7年前の脆弱性が依然として有効であることは、企業環境におけるパッチ未適用なレガシーシステムの永続的なリスクを浮き彫りにしています。
悪用プロセスは体系的かつ意図的に隠蔽されています。被害者が悪意のある文書を開くと、リモートテンプレートがダウンロードされ、処理されます。RTF形式の文書には、HTMLアプリケーション(HTA)ファイルをダウンロードして実行する実際の悪用コードが含まれています。攻撃者は、悪意のあるファイルサーバーに対して時間ベースおよびIPベースのアクセス制限を設けており、フォレンジック分析を困難にし、インフラの露出を制限しています。
多層的なマルウェアインフラ
初期のHTAファイルは、複数のVBSファイル(グループの主要な初期アクセスツールであるVBShowerバックドアを構成)を抽出し作成するステージングメカニズムとして機能します。VBShowerは、その後、PowerShower、VBCloud、CloudAtlasという3つの追加バックドアの展開を調整します。このモジュール化されたアプローチは、永続的なアクセスを維持するための柔軟性と冗長性を提供します。
感染フローは、ファイル命名規則や実行方法の段階的な改善と変更を除けば、グループの2024年の攻撃パターンとほぼ同じです。VBShowerは、ペイロードサイズに関わらずダウンロードされたVBスクリプトを実行するように強化され、以前のファイルサイズチェックによる制限がなくなりました。新しいペイロードコンポーネントは、グループの監視能力が拡大していることを示しています。VBShowerのペイロード亜種は、作成タイムスタンプ、プロセス名、コマンドライン引数を含む詳細なプロセス情報を収集します。追加のペイロードは、Yandex WebDAVなどのクラウドサービスに対して体系的なチェックを実行し、アクセシビリティとHTTP応答を文書化して、実行可能なコマンド&コントロールチャネルを特定します。
グループは、複数のバックドアにわたる洗練されたファイルグラバーメカニズムを展開しています。FileGrabberコンポーネントは、システムディレクトリと許可されたファイル名を除外し、過去30日以内に変更されたドキュメントをスキャンします。ファイルサイズの制限(1KBから3MB)は、攻撃者が過剰なデータ転送による検出を避けながらデータ収集を優先するのに役立ちます。
CloudAtlas:高度な持続的バックドア
CloudAtlasバックドアは、グループの最も洗練されたコンポーネントであり、正規のアプリケーションに対するDLLハイジャック攻撃を利用します。このバックドアは、VLCメディアプレーヤーを無意識のローダーとして悪用し、悪意のあるライブラリを正規のプラグインとして偽装します。通信はWebDAVプロトコルを介してクラウドサービスと行われ、システム情報、ユーザー名、ボリュームデータを含む暗号化されたビーコンが送信されます。CloudAtlasプラグインは、ターゲットに特化した機能を提供します:
- FileGrabber: ローカルディスク、リムーバブルメディア、ネットワークリソースからドキュメントを窃取。
- InfoCollector: システムおよびネットワーク構成の詳細を収集。
- PasswordStealer: Chrome App-Bound Encryption Decryptionユーティリティを使用してChromiumベースのブラウザから認証情報を抽出。
- Common Plugin: レジストリ操作やリモートファイル実行を含む任意のコマンドを実行。
ターゲットと対策の重要性
2025年初頭の活発なキャンペーンは、ロシアとベラルーシの通信、建設、政府機関、製造工場など多様なセクターの組織を標的としました。このグループの10年にわたる運用履歴は、攻撃手法を進化させながら、高価値ターゲットに対する作戦の有効性を維持する驚くべき持続性と適応性を示しています。
CVE-2018-0802が依然として有効であることは、レガシーシステムのパッチ適用とアプリケーションの強化が極めて重要であることを強調しています。組織は、Officeのマクロ制限、フィッシング指標に対するメールフィルタリング、VBSスクリプト実行に対する挙動監視を導入すべきです。