文章总结： 文章介绍了CloudAtlasAPT组织利用Office漏洞CVE-2018-0802进行攻击的情况。该组织通过钓鱼邮件发送恶意文档，一旦受害者打开，就会触发感染链，下载并执行多个后门程序(VBShower、PowerShower、VBCloud和CloudAtlas)。这些恶意软件使用RC4加密技术，通过模仿合法系统服务的计划任务实现持久化，并通过WebDAV协议与云服务通信窃取数据。目标包括电信、建筑、政府机构和工业设施等多个行业。 综合评分： 87 文章分类： 威胁情报,漏洞分析,恶意软件,应急响应

黑客组织利用Office漏洞执行恶意代码

原创

铸盾安全

河南等级保护测评

2025年12月21日 00:01 河南

2025 年上半年，Cloud Atlas 高级持续性威胁组织继续开展针对东欧和中亚地区组织的复杂攻击活动，利用过时的 Microsoft Office 漏洞植入多个后门程序。

此次行动揭示了一项旨在建立持续访问权限并从高价值目标中窃取敏感数据的协同努力。

Cloud Atlas 自 2014 年以来一直是已知的威胁行为者，它通过改进攻击方法和扩展工具包，展现了持续的运营活动。

该组织的架构通常始于包含恶意文档的网络钓鱼电子邮件，这些恶意文档利用了 Microsoft Office 公式编辑器中的一个漏洞 CVE-2018-0802。

一旦受害者打开被感染的文件，一系列恶意软件组件就会被下载并执行，形成一个精心策划的感染链。

Securelist 分析人员发现，感染过程始于用户打开包含恶意模板的 Word 文档，该恶意模板来自攻击者控制的服务器。

该文档加载了一个 RTF 文件，其中包含针对公式编辑器的漏洞利用程序，然后该程序下载并执行一个 HTML 应用程序文件。

初始有效载荷会在目标系统中提取多个 VBS 文件，为部署其他后门程序（包括 VBShower、PowerShower、VBCloud 和 CloudAtlas）奠定基础。每个组件在整个攻击架构中都发挥着特定作用。

该威胁组织的武器库显示出其在规避和持续作战技术方面的高超水平。

VBShower 后门作为主要启动器组件运行，可以执行下载的 VB 脚本，无论文件大小，允许操作人员灵活地部署各种有效载荷。

Securelist 的研究人员指出，该后门会与命令服务器通信，以检索和执行其他脚本，包括专为文件窃取、系统枚举和凭证收集而设计的专用工具。

感染机制和持续生存策略

VBCloud植入程序是Cloud Atlas运行能力的重要组成部分。VBCloud与启动脚本协同工作，通过基于云的基础设施与命令服务器保持加密通信。

启动器从本地文件中读取加密的有效载荷数据，使用嵌入式密钥应用 RC4 解密，并执行解密后的内容。

值得注意的是，该实现使用了 RC4 中的 PRGA 算法，这在恶意软件中是一种相对不常见的技术选择，表明其运行成熟度较高。

该持久化机制利用 Windows 任务计划程序来维持系统重启后的访问权限。

该恶意软件会创建名称模仿合法系统服务的计划任务，例如“MicrosoftEdgeUpdateTask”和“MicrosoftVLCTaskMachine”。

这些任务会定期执行 VBS 脚本，确保恶意软件即使在系统重启后也能继续运行。

文件操作涉及谨慎使用 %Public% 和 %LOCALAPPDATA% 目录，恶意软件通过重命名文件和加密有效载荷建立隐藏的基础架构。

CloudAtlas 作为最终阶段的后门，通过 WebDAV 协议与包括 OpenDrive 在内的云服务进行通信，建立与合法云流量混合的加密命令通道。

该后门使用 HTTP MKCOL 方法创建目录，并通过 PROPFIND 请求检索有效载荷。

操作员可以部署插件模块来实现特定功能，包括文件抓取、从浏览器窃取密码和系统信息收集。

FileGrabber 插件针对具有特定扩展名的文档，例如 DOC、DOCX、XLS、XLSX 和 PDF，同时根据大小、修改日期和路径排除项筛选文件。

该行动表明，其目标涵盖俄罗斯和白俄罗斯境内的电信、建筑、政府机构和工业设施等多个行业。

组织机构面临着来自这个复杂的威胁组织的多阶段感染过程和强大的后渗透能力的重大风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全《黑客组织利用Office漏洞执行恶意代码》