Wprowadzenie do problemu / definicja luki
Grupa APT Cloud Atlas (znana także jako Inception) przeprowadziła kolejną kampanię cyberszpiegowską wymierzoną w rosyjski sektor rolno-spożywczy. Ataki wykorzystują przynęty związane z programem nadchodzącego forum rolniczego w Moskwie (30 października 2025 r.) oraz klasyczną podatność CVE-2017-11882 w edytorze równań MS Office, co umożliwia zdalne wykonanie kodu po otwarciu spreparowanego dokumentu. Kampanię jako pierwsza publicznie opisała redakcja The Record, na podstawie analiz rosyjskiej firmy F6.
W skrócie
- Cel: przedsiębiorstwa agro-przemysłowe w Rosji (co najmniej jedna ofiara z października; wcześniejsze cele we IX–X 2025).
- Wejście: spear-phishing z dokumentem .doc zawierającym łańcuch prowadzący do eksploatacji CVE-2017-11882 (RTF template injection).
- Ładunek: rodzina narzędzi Cloud Atlas, m.in. VBShower z dalszym dogrywaniem modułów; w 2024 r. obserwowano także VBCloud/PowerShower.
- Trend: utrzymywanie wieloetapowej, znanej od lat ścieżki infekcji, okresowe eksperymenty z dostarczaniem ładunku i nietypowymi strefami domen.
Kontekst / historia / powiązania
Cloud Atlas jest aktywna co najmniej od 2014 r., konsekwentnie stosując kampanie spear-phishingowe wobec podmiotów rządowych i sektorów strategicznych w regionie Europy Wschodniej i Azji Centralnej. W ostatnich latach grupa była regularnie łączona z celami w Rosji i Białorusi.
Analiza techniczna / szczegóły luki
Wejście i przynęta. W październiku 2025 r. F6 zarejestrowało wiadomości z konta mkrutij@list[.]ru z załącznikiem „Программа Форум Зерно и масличные.doc”, który faktycznie zawiera program konferencji. Analogiczna fala ze września używała tematu „Бланк ТЧ” i innego nadawcy (glotovao56@yandex[.]ru).
Łańcuch eksploatacji. Dokument-loader pobiera przez mechanizm RTF template plik RTF z exploitem CVE-2017-11882, po czym dociąga droppera (us.txt) i uruchamia VBShower z C2 ukrytym za ścieżkami URL na domenie kommando[.]live. Wcześniejsze łańcuchy korzystały również z hostów regioninvest[.]net i news-freebase[.]com.
CVE-2017-11882. To przepełnienie bufora w Equation Editor (EQNEDT32.exe), pozwalające na RCE bez interakcji poza otwarciem dokumentu. Mimo łatki z 2017 r. podatność pozostaje powszechnie nadużywana.
Moduły po infekcji. W arsenal Cloud Atlas od lat obserwuje się VBShower/PowerShower; w 2024 r. Kaspersky opisał nowy backdoor VBCloud ładowany właśnie przez VBShower (z opcją dociągania pluginów i komunikacją przez chmurę).
Infrastruktura i TTP. F6 wskazuje na nietypowe dla grupy strefy domen (np. .live, .online, .cfd) oraz łączenie ról domen (ładowanie szablonu i C2 na jednym hostu), podczas gdy historycznie rozdzielano etapy (template/C2/PowerShower) między różne domeny.
Praktyczne konsekwencje / ryzyko
- Łańcuch kompatybilny z „starymi” stacjami: wystarczy niezałatany Office lub legacy EQNEDT32.exe; w środowiskach z uprawnieniami lokalnych adminów skutki obejmują pełne przejęcie hosta.
- Ryzyko wycieku IP i danych operacyjnych w łańcuchach dostaw rolno-spożywczych (receptury, logistyka, planowanie zasiewów/zbiorów, zakup komponentów). Wskazania F6 sugerują, iż część przynęt dotyczyła także podmiotów obronnych.
- Utrzymywanie się skuteczności „starej” podatności wspierane czynnikiem ludzkim (otwieranie dokumentów) i technicznym (brak twardych zasad makr/załączników).
Rekomendacje operacyjne / co zrobić teraz
- Wyłącz i usuń Equation Editor (EQNEDT32.exe) w GPO/SCCM; zweryfikuj binarki Office pod kątem obecności komponentu. Zaimplementuj „Office Attack Surface Reduction” i politykę blokowania RTF z internetowej strefy pochodzenia. (Dotyczy CVE-2017-11882 i vektorów RTF.)
- Patch management: potwierdź wdrożenie biuletynów z 2017 r. i późniejszych dla Office; przeprowadź skan podatności pod kątem CVE-2017-11882.
- Filtry pocztowe i detekcje:
- Blokuj/monitoruj rozszerzenia .rtf, .hta, .lnk, .cmd w załącznikach; skanuj „template injection” w RTF.
- Reguły EDR/IDS na sekwencję: WINWORD.exe -> eqnedt32.exe -> powershell.exe/cscript.exe + nietypowe ruchy do domen podobnych do kommando[.]live, regioninvest[.]net.
- Network hardening: egress-allowlist dla serwisów HTTP/HTTPS, TLS inspection z uwzględnieniem nietypowych ścieżek URL; DNS sinkhole dla znanych IoC z raportu F6.
- Awareness i procesy: micro-szkolenia przed wydarzeniami branżowymi (podniesione ryzyko przynęt „agenda/plan konferencji”), weryfikacja zaproszeń z out-of-band.
- Hunting (przykładowe hipotezy):
- Wyszukaj dokumenty Word odwołujące się do zewnętrznych szablonów RTF (Event ID/O365 audit).
- Artefakty VBShower/PowerShower/VBCloud w %TEMP%, harmonogramie zadań i RunKeys; nietypowe User-Agent w Invoke-RestMethod.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
W porównaniu z wcześniejszymi opisami kampanii Cloud Atlas (2019–2024) obecna fala nadal opiera się na dobrze znanym łańcuchu (phish → RTF/CVE-2017-11882 → VBShower), ale wyraźniej eksperymentuje z etapami dostarczania i strefami domen. Zbieżne obserwacje pojawiały się w materiałach Kaspersky (stabilne TTP + nowe implanty) oraz Check Point (utrzymanie stałych technik, zmiana przynęt wg bieżącego kontekstu).
Podsumowanie / najważniejsze wnioski
- Cloud Atlas wykorzystuje wydarzenia branżowe jako wiarygodne przynęty i przez cały czas z powodzeniem eksploatuje historyczną lukę CVE-2017-11882.
- Mimo „wiekowych” technik, efektywność ataków pozostaje wysoka — decydują higiena systemów i czynnik ludzki.
- Priorytetami defensywnymi są: deprecjacja EQNEDT32, twarde polityki dla dokumentów Office/RTF, egress-kontrola i hunting pod kątem rodziny VBShower/PowerShower/VBCloud.
Źródła / bibliografia
- The Record — opis kampanii na sektor rolny (29 października 2025). (The Record from Recorded Future)
- F6 — analiza techniczna ostatnich ataków (28 października 2025). (f6.ru)
- Kaspersky Securelist — „Cloud Atlas attacks with new backdoor VBCloud” (23 grudnia 2024). (securelist.com)
- Palo Alto Networks Unit 42 — analiza CVE-2017-11882 (2017–2018). (Unit 42)
- Check Point Research — cele w Rosji i na Białorusi (grudzień 2022). (Check Point Research)
