新的VBCloud恶意软件攻击概述

关键要点

• 攻击者背景 ：俄罗斯国有支持的网络威胁组织Cloud Atlas（又称Clean Ursa、Oxygen、Inception和Red October）利用VBCloud恶意软件进行攻击。
• 攻击方式 ：通过网络钓鱼邮件传播恶意Microsoft Office文档，借助CVE-2018-0802漏洞执行恶意代码。
• 恶意软件功能 ：VBCloud可以收集磁盘信息、系统元数据、文档以及Telegram相关文件。

最近有报告指出，俄罗斯国有支持的网络攻击组织 **** 利用新的 VBCloud 恶意软件进行了一系列攻击，目标主要是俄罗斯用户，尝试进行数据窃取。这一信息来自 **** 的报道。

Cloud Atlas 发送的网络钓鱼邮件中包含一个恶意的 Microsoft Office 文档，该文档下载一个恶意 RTF 模板，利用一个被称为 CVE-2018-0802 的 Equation Editor 漏洞，执行一个 HTML 应用程序文件，从而建立 VBShower后门的启动器和清理文件。Kaspersky 的分析显示了这一过程的详细信息。

除了支持额外的 Visual Basic 脚本负载的获取外，VBShower 还允许部署 PowerShower ，后者充当多达七个 PowerShell 负载的下载器，以及 VBCloud ，该软件可以收集磁盘信息、系统元数据、各种格式的文档以及与 Telegram 相关的文件。

Kaspersky 研究员 Oleg Kupreev 解释道：“PowerShower 探测本地网络并促进进一步渗透，而 VBCloud则收集系统信息和窃取文件。感染链由多个阶段组成，最终目标是窃取受害者设备中的数据。”

补充信息 ： - CVE-2018-0802 是一个已知漏洞，攻击者可以利用该漏洞执行任意代码。 - 保护措施建议：确保系统和软件及时更新，使用反恶意软件解决方案进行系统检查。

总之，Cloud Atlas 利用 VBCloud 恶意软件实施复杂的攻击策略，用户应该保持警惕，采取必要的安全措施以防范类似网络威胁。