Portugal é um dos países afectados pela ameaça persistente avançada (APT) Cloud Atlas, também conhecida por “Inception”, que reforçou o seu modo de ataque com novas ferramentas, que permitem invadir os sistemas de detecção dos Indicadores de Compromisso padrão. Esta nova cadeia de infecção também já foi detectada em várias organizações de outros países da Europa e Ásia Central.
A Cloud Atlas é uma APT com uma ampla trajectória em operações de ciberespionagem contra o sector industrial, entidades estatais e outros organismos. Foi identificada pela primeira vez em 2014 e, desde então, nunca deixou de estar activa.
Os sectores internacional aerospacial e da economia, assim como entidades religiosas e da administração pública de diversos países, têm-se constituído os principais alvos da Cloud Atlas, principalmente em Portugal, Roménia, Turquia, Ucrânia, Rússia, Turcomenistão, Afeganistão e Quirguistão. Devido às suas capacidades de infiltração bem-sucedidas, a Cloud Atlas recolhe informações sobre o sistema que se está a utilizar; as credenciais de acesso e arquivos .txt, .pdf e .xls para um servidor de comando e controlo.
Apesar da Cloud Atlas não ter alterado as suas tácticas de forma radical, as investigações efectuadas desde 2018 revelam que esta ameaça já começou a implementar novas formas para infectar as suas vítimas e a realizar movimentos laterais através da rede.
Segundo a Kaspersky anteriormente, a Cloud Atlas começava por enviar um email de spear phishing com o arquivo em
anexo, que continha conteúdo malicioso. Se a infiltração fosse bem-sucedida, o PowerShower – o malware incorporado no arquivo em anexo, utilizado para o reconhecimento inicial e para o download posterior de outros módulos maliciosos adicionais – era executado de forma a que os hackers pudessem proceder com uma operação.
Agora, a nova cadeia de infecção atrasa a execução do PowerShower para uma etapa posterior. Em vezdisso, após a infecção inicial pelo email, uma aplicação maliciosa de HTML é descarregada e executa o plano com o mesmo objectivo. De seguida, esta aplicação recolhe informação inicial sobre o computador atacado e só depois é que descarrega e executa o VBShower, outro módulo malicioso. O VBShower dá continuação à ameaça, eliminando as provas da presença de malware no sistema, e consulta os seus “mestres” através dos servidores de comando e controlo para decidir acções futuras. Em função do comando recebido, o malware é descarregado e executa posteriormente o PowerShower ou outra “porta traseira” conhecida de segunda etapa da Cloud Atlas.
