A Cloud Atlas é uma APT (ameaça persistente avançada) com uma ampla trajectória em operações de ciberespionagem contra o sector industrial, entidades estatais e outros organismos. Foi identificada pela primeira vez em 2014 e, desde então, nunca deixou de estar activa.
Os sectores internacional aeroespacial e da economia, assim como entidades religiosas e da administração pública de diversos países, incluindo Portugal, Turquia, Ucrânia e Rússia, têm-se constituído os principais alvos da Cloud Atlas.
Devido às suas capacidades de infiltração bem-sucedidas, a Cloud Atlas consegue recolher informações sobre o sistema que se está a utilizar, as credenciais de acesso, e roubar ficheiros .txt, .pdf e .xls para um servidor de comando e controlo.
Apesar da Cloud Atlas não ter alterado as suas tácticas de forma radical, as investigações efectuadas desde 2018 revelam que esta ameaça já começou a implementar novas formas para infectar as suas vítimas e a realizar movimentos laterais através da rede.
Anteriormente, a Cloud Atlas começava por enviar um email de spear phishing com o ficheiro em anexo, que continha conteúdo malicioso. Se a infiltração fosse bem-sucedida, o PowerShower – o malware incorporado no ficheiro em anexo, utilizado para o reconhecimento inicial e para o download posterior de outros módulos maliciosos adicionais – era executado de forma a que os hackers pudessem proceder com a operação.
Agora, a nova cadeia de infecção atrasa a execução do PowerShower para uma etapa posterior. Em vez disso, após a infecção inicial pelo email, uma aplicação maliciosa de HTML é descarregada e executa o plano com o mesmo objectivo. De seguida, esta aplicação recolhe informação inicial sobre o computador atacado e só depois é que descarrega e executa o VBShower, outro módulo malicioso.
O VBShower dá continuação à ameaça, eliminando as provas da presença de malware no sistema, e consulta os responsáveis através dos servidores de comando e controlo para decidir acções futuras. Em função do comando recebido, o malware é descarregado e executa posteriormente o PowerShower ou outra “porta traseira” conhecida de segunda etapa da Cloud Atlas.
De acordo com os especialistas da Kaspersky, a versão mais recente é utilizada para tornar o malware invisível para as soluções de segurança que confiam nos Indicadores de Compromisso mais conhecidos.
A Kaspersky recomenda às organizações que se protejam previamente contra ataques dirigidos, através de soluções melhoradas com Indicadores de Ataque (IoA). Os IoA encarregam-se de fazer o acompanhamento das técnicas implantadas, independentemente das ferramentas específicas que estejam a ser utilizadas.
