تواصل مجموعة تهديد “كلاود أطلس” (Cloud Atlas) المتطورة حملتها المستمرة التي تستهدف المؤسسات في شرق أوروبا وآسيا الوسطى خلال النصف الأول من عام 2025، مستخدمة ثغرات قديمة في برنامج مايكروسوفت أوفيس لتنفيذ برمجيات خبيثة متعددة. تكشف هذه الحملة عن جهد منسق لضمان وصول مستمر واستخلاص بيانات حساسة من أهداف ذات قيمة عالية.
تُعرف مجموعة “كلاود أطلس” بنشاطها منذ عام 2014، وقد أظهرت قدرة على التطور المستمر عبر صقل منهجياتها الهجومية وتوسيع أدواتها. عادةً ما تبدأ البنية التحتية للمجموعة برسائل تصيد احتيالي تحتوي على مستندات خبيثة تستغل الثغرة CVE-2018-0802 في محرر المعادلات الخاص بمايكروسوفت أوفيس. بمجرد فتح الضحية للملف المصاب، يتم تنزيل وتنفيذ سلسلة من مكونات البرامج الضارة في عملية عدوى منظمة بعناية.
حملة كلاود أطلس تستغل ثغرات أوفيس
حدد محللو Securelist أن عملية الإصابة تبدأ عندما يفتح المستخدمون مستند وورد يحتوي على قالب خبيث يتم توفيره من خوادم يتحكم بها المهاجمون. يقوم المستند بتحميل ملف RTF يعرض استغلالاً لمحرر المعادلات، والذي بدوره يقوم بتنزيل وتنفيذ ملف تطبيق HTML. هذه الحمولة الأولية تستخرج ملفات VBS متعددة على نظام الهدف، مما يضع الأساس لنشر برمجيات خبيثة إضافية بما في ذلك VBShower و PowerShower و VBCloud و CloudAtlas. يخدم كل مكون وظائف محددة ضمن البنية التحتية للهجوم الشامل.
يُظهر ترسانة المجموعة درجة عالية من التطور في تقنيات التخفي والاستمرارية. تمثل برمجية VBShower الخبيثة، التي تعمل كمكون الإطلاق الأساسي، القدرة على تنفيذ نصوص VBS التي تم تنزيلها بغض النظر عن حجم الملف، مما يتيح للمشغلين نشر حمولات مختلفة بمرونة.
لاحظ باحثو Securelist أن هذه البرمجية تتواصل مع خوادم القيادة لاسترداد وتنفيذ نصوص برمجية إضافية، بما في ذلك أدوات متخصصة مصممة لاستخلاص الملفات، وترقيم النظام، وحصاد بيانات الاعتماد.
آلية العدوى وتكتيكات الاستمرارية
تُعد برمجية VBCloud الخبيثة مكونًا حاسمًا في قدرة “كلاود أطلس” التشغيلية. تعمل جنبًا إلى جنب مع نص برمجي للمشغل، تحتفظ VBCloud باتصال مشفر مع خادم القيادة عبر بنية تحتية سحابية. يقرأ المشغل بيانات الحمولة المشفرة من الملفات المحلية، ويطبق فك تشفير RC4 بمفاتيح مدمجة، وينفذ المحتوى الذي تم فك تشفيره.
من الجدير بالذكر أن هذا التطبيق يستخدم خوارزمية PRGA ضمن RC4، وهو اختيار تقني نادر نسبيًا في البرامج الضارة، مما يشير إلى مستوى أعلى من النضج التشغيلي. تتضمن آلية الاستمرارية استخدام “جدولة مهام ويندوز” (Windows Task Scheduler) للحفاظ على الوصول عبر عمليات إعادة تشغيل النظام.
تقوم البرمجية بإنشاء مهام مجدولة بأسماء تحاكي خدمات النظام الشرعية مثل “MicrosoftEdgeUpdateTask” و “MicrosoftVLCTaskMachine”. تنفذ هذه المهام نصوص VBS على فترات منتظمة، مما يضمن بقاء البرمجية الخبيثة قيد التشغيل حتى بعد إعادة تشغيل النظام. تشمل عمليات الملفات استخدامًا دقيقًا لمجلدات %Public% و %LOCALAPPDATA%، حيث تنشئ البرمجية بنية تحتية مخفية عبر ملفات معاد تسميتها وحمولات مشفرة.
تقوم برمجية CloudAtlas، وهي البرمجية الخبيثة النهائية، بالاتصال عبر بروتوكولات WebDAV بخدمات سحابية بما في ذلك OpenDrive، مما يؤسس قنوات قيادة مشفرة تتداخل مع حركة مرور السحابة المشروعة. تنشئ البرمجية مجلدات باستخدام أساليب HTTP MKCOL وتسترد الحمولة عبر طلبات PROPFIND. يمكن للمشغلين نشر وحدات إضافية لوظائف متخصصة، بما في ذلك استخراج الملفات، وسرقة كلمات المرور من المتصفحات، وجمع معلومات النظام. تستهدف وحدة FileGrabber الملفات ذات الامتدادات المحددة مثل DOC و DOCX و XLS و XLSX و PDF، مع تصفية الملفات بناءً على الحجم وتاريخ التعديل واستثناءات المسار.
تُظهر الحملة استهدافًا لقطاعات متنوعة بما في ذلك الاتصالات، والبناء، والجهات الحكومية، والمرافق الصناعية في جميع أنحاء روسيا وبيلاروسيا. تواجه المؤسسات خطرًا كبيرًا من عملية العدوى متعددة المراحل لهذه المجموعة التهديدية المتطورة وقدراتها القوية بعد الاستغلال.