Campanhas de spear phishing exploram falhas antigas do Microsoft Equation Editor, carregam PowerShower e usam máquinas comprometidas como proxies para operações posteriores.
| Componente | Campanha Cloud Atlas/Inception com documentos Word, modelos RTF remotos, PowerShower, DLL proxy rtcpsvc.dll e backdoor modular em DLL acompanhada de arquivo criptografado. |
| Vetor | E-mails de spear phishing com anexos maliciosos e modelos remotos que exploram CVE-2017-11882 e CVE-2018-0802 no Microsoft Equation Editor, com acesso controlado por whitelist de alvos. |
| Impacto | Execução de comandos PowerShell, download de arquivo ZIP para %TEMP%\PG.zip, instalação de componentes de espionagem, retransmissão de tráfego por máquinas infectadas e, em intrusões relatadas, acesso amplo à rede e ao controlador de domínio. |
| Prioridade | Bloquear anexos e modelos remotos suspeitos, corrigir falhas antigas do Office, caçar uso anômalo de PowerShell, RDP, criação ou alteração de contas de domínio e conexões proxy iniciadas por estáções de usuário. |
| Versões | As falhas citadas são vulnerabilidades antigas do Microsoft Equation Editor identificadas como CVE-2017-11882 e CVE-2018-0802; o contexto não informa versões específicas do Office ainda vulneráveis. |
| Artefatos | PowerShower mantém funções rastreáveis como HttpRequestG, HttpRequestP e dec64; a DLL proxy é chamada internamente de rtcpsvc.dll; uma variante observada gravava ZIP em %TEMP%\PG.zip. |
| Alvos | Entidades governamentais, diplomáticas, de pesquisa, transporte, rádio-eletrônica militar, energia e metais na Rússia, Bielorrússia, Crimeia, Donetsk, Luhansk e Transnístria. |
Cloud Atlas, também conhecido como Inception, aparece neste caso como um operador de espionagem com TTPs relativamente estáveis e uma seleção de alvos ajustada ao cenário da guerra na Ucrânia. O recorte observado indica mudança de foco a partir do fim de 2021, quando a atividade passou a se concentrar em Rússia, Bielorrússia, Crimeia, áreas separatistas no leste ucraniano, Transnístria e setores estratégicos vinculados a governo, diplomacia, transporte, energia, metais e rádio-eletrônica militar. O ponto relevante para defesa não é apenas a persistência da campanha, mas a combinação de técnica antiga com controle forte de exposição: os documentos iniciais usam modelos remotos e vulnerabilidades já conhecidas, enquanto a infraestrutura restringe quem consegue receber estágios maliciosos, reduzindo a visibilidade em sandboxes e ambientes de pesquisa.
A cadeia descrita começa em spear phishing e evolui para PowerShower, uma backdoor baseada em PowerShell que aguarda instruções do servidor de comando e controle. A campanha também inclui um componente adicional, a DLL rtcpsvc.dll, usada para retransmitir conexões entre pares remotos. Isso muda a leitura operacional da intrusão: a máquina comprometida não serve apenas como ponto de coleta ou execução, mas também como nó de passagem para tráfego de outras operações. Em incidentes posteriores mencionados no material técnico, os operadores teriam alcançado o controlador de domínio, extraído cópia da base do Active Directory para análise offline e usado contas existentes ou contas visualmente semelhantes para se misturar a operações administrativas comuns.
O vetor inicial permanece centrado em e-mails direcionados com anexos de Word e temas alinhados ao setor do destinatário, incluindo assuntos governamentais, diplomáticos e de energia. Os anexos usam modelos RTF remotos que exploram CVE-2017-11882 e CVE-2018-0802, ambas falhas antigas associadas ao Microsoft Equation Editor. A etapa remota é importante porque permite ao operador separar reconhecimento de execução: um documento pode apenas coletar informação de IP e perfil do alvo, enquanto o estágio malicioso seguinte é entregue somente quando a origem corresponde ao alvo esperado. A whitelist por entidade, ASN ou outra característica de rede reduz a chance de detonadores automáticos baixarem o mesmo conteúdo recebido pela vítima real.
Depois da execução inicial, PowerShower atua como estágio intermediário. O script é armazenado com ofuscação simples por Base64 e concatenação de strings, mas preserva nomes de funções que facilitam a correlação entre versões, como HttpRequestG, HttpRequestP e dec64. As amostras recentes descritas têm funcionalidade mais enxuta do que variantes antigas, porém mantêm a lógica central de comunicação e execução. O componente pode receber um ZIP gravado em %TEMP%\PG.zip ou interpretar comandos PowerShell embutidos em XML codificado em Base64. Uma mudança operacional observada é a consciência de proxy: quando a máquina infectada possui proxy configurado, o malware usa esse caminho nas requisições e inclui versões do sistema operacional e do PowerShell no cabeçalho User-Agent de requisições POST.
A DLL rtcpsvc.dll é carregada de forma reflexiva por um script chamado office.ps1, que contém o binário comprimido e codificado. Sua função é retransmitir comandos entre dois servidores, criando uma ponte entre pares remotos. A comunicação pode usar XOR dependendo dos parâmetros de execução; o material informa que a mesma chave foi vista nos casos analisados, mas o valor operacional não precisa ser publicado para defesa. A DLL se conecta ao primeiro par, recebe bytes que indicam o tamanho da próxima mensagem, processa uma resposta XML com instruções de conexão para o segundo par e passa a encaminhar mensagens entre os lados. Esse desenho permite que tráfego de comando e controle pareça sair de uma rede já confiável, especialmente quando a vítima pertence ao país, setor ou organização de interesse.
A superfície exposta inclui estáções de trabalho de usuários que recebem documentos de phishing, servidores internos alcançáveis a partir dessas estáções, controladores de domínio e equipamentos de rede administrados com credenciais de domínio. A campanha também afeta controles de e-mail, proxies corporativos e monitoramento de saída, porque parte do tráfego malicioso pode seguir caminhos autorizados no ambiente. Em organizações com Microsoft Office desatualizado, o risco aumenta quando documentos RTF ou modelos remotos podem acionar componentes legados vulneráveis sem uma cadeia moderna de exploração. Em redes com allowlists amplas para serviços de e-mail públicos e baixa inspeção de anexos, a etapa inicial ganha mais chance de chegar ao usuário final.
Os setores citados incluem governo, diplomacia, pesquisa, indústria, transporte, rádio-eletrônica militar, energia e metalurgia. A seleção geográfica envolve Rússia, Bielorrússia, Crimeia anexada, Donetsk, Luhansk e a região separatista da Transnístria. O contexto também menciona que, antes da mudança de foco, a atividade observada abrangia ministérios, entidades diplomáticas e alvos industriais em diferentes regiões, incluindo Ásia Ocidental, Sudeste Asiático e Europa. Para defesa, isso indica que a campanha não deve ser tratada apenas como exploração oportunista de Office: a escolha de iscas, a entrega controlada e a movimentação posterior sugerem operação orientada por inteligência.
- Estáções Windows com Office vulnerável a
CVE-2017-11882ouCVE-2018-0802e permissão para buscar modelos remotos. - Ambientes em que usuários comuns conseguem iniciar conexões que posteriormente alcançam servidores internos, controladores de domínio ou equipamentos de rede.
- Domínios Active Directory nos quais alterações discretas de permissões, criação de contas parecidas com nomes legítimos e uso administrativo de RDP não geram alerta.
A caça deve começar pelo encadeamento entre e-mail, abertura de documento e execução de PowerShell. Procure anexos de Word ou RTF recebidos de serviços públicos de e-mail, remetentes que imitam entidades conhecidas e documentos que tentam carregar modelos remotos. Em endpoint, a atenção deve recair sobre processos do Office iniciando PowerShell, criação de arquivos temporários compatíveis com o padrão %TEMP%\PG.zip, scripts ofuscados por Base64 e concatenação de strings, além de chamadas a funções ou artefatos com nomes próximos a HttpRequestG, HttpRequestP, dec64, office.ps1 e rtcpsvc.dll. Esses sinais isolados não confirmam comprometimento, mas formam uma sequência útil quando aparecem no mesmo host e no mesmo intervalo temporal.
Na rede, a telemetria deve diferenciar tráfego normal de proxy de tráfego iniciado por estáções incomuns após abertura de documento. A DLL proxy descrita pode transformar um host de usuário em ponto de retransmissão, então conexões persistentes para pares remotos, mensagens em XML e padrões de reconexão com intervalos controlados merecem inspeção. Em identidade, os sinais mais fortes aparecem na fase posterior: RDP de estáções de usuário para controlador de domínio, uso de contas administrativas fora do padrão, alteração de permissões em contas existentes, criação de contas com nomes quase iguais aos legítimos e acesso a servidores ou equipamentos de rede a partir do controlador de domínio. O uso de utilitários como Advanced Port Scanner, Far, Chocolatey, AnyDesk, Putty e Python 3 em servidores também deve ser avaliado quando não fizer parte da linha de base operacional.
- Processos do Office gerando PowerShell, especialmente após anexos recebidos por Yandex, Mail.ru, Outlook.com ou domínios visualmente relacionados a entidades confiáveis.
- Consultas ou downloads de modelos remotos permitidos apenas para faixas específicas, seguidos por execução de conteúdo no host do usuário.
- Conexões RDP iniciadas por máquinas de usuários comuns em direção a controladores de domínio, servidores críticos ou equipamentos de rede.
- Eventos de alteração de privilégio, criação de contas semelhantes a nomes já existentes e acesso ao controlador de domínio fora da rotina administrativa normal.
- Referências em logs de proxy a
webdav[.]opendrive[.]com, especialmente se acompanhadas de tentativa de limpeza de histórico ou manipulação de registros.
A mitigação deve priorizar o bloqueio da cadeia inicial e a redução do valor operacional de uma estáção comprometida. Corrija ambientes Office vulneráveis às falhas antigas citadas, bloqueie ou restrinja modelos remotos de documentos quando não houver necessidade de negócio e aplique inspeção em anexos que combinem RTF, Word e chamada externa. Controles de e-mail devem tratar remetentes de serviços públicos e domínios parecidos com fornecedores ou órgãos conhecidos como risco adicional quando o conteúdo estiver ligado a temas governamentais, diplomáticos ou setoriais sensíveis. Em endpoint, reduza execução irrestrita de PowerShell por processos do Office, registre scripts codificados e monitore uso de PowerShell com XML ou Base64 em fluxos de entrada.
Para contenção de intrusões suspeitas, isole hosts com sinais de PowerShower ou rtcpsvc.dll, preserve memória e artefatos temporários antes de limpeza e revise a linha do tempo desde o e-mail inicial até conexões RDP internas. Em Active Directory, valide a integridade de contas privilegiadas, compare nomes de contas criadas recentemente com padrões reais, audite alterações de grupos e investigue qualquer acesso ao controlador de domínio originado de estáção de usuário. Se houver indício de extração da base do controlador de domínio, trate como exposição de hashes: rotacione credenciais conforme criticidade, revise contas de serviço, invalide sessões persistentes e procure autenticações anômalas após a janela provável de acesso.
A prevenção também exige segmentação e controle de ferramentas administrativas. Estáções comuns não devem iniciar RDP para controladores de domínio, servidores sensíveis ou equipamentos de rede; exceções precisam ser nominais, registradas e monitoradas. Ferramentas como AnyDesk, Putty, Chocolatey, scanners de porta, gerenciadores de arquivo e Python em servidores devem ter política explícita de uso e alerta quando surgirem fora do inventário. Como a campanha usa infraestrutura controlada por whitelist, a ausência de detonação em sandbox não deve encerrar a investigação. A validação deve combinar telemetria de e-mail, proxy, endpoint, identidade e logs de administração para reconstruir o fluxo completo.
- Aplicar correções para Office e Microsoft Equation Editor, com foco em sistemas ainda expostos a
CVE-2017-11882eCVE-2018-0802. - Bloquear modelos remotos de documentos ou permitir apenas origens aprovadas, com registro de tentativas negadas e permitidas.
- Impedir PowerShell filho de processos do Office quando não houver justificativa operacional e alertar para Base64, XML e escrita de ZIP em diretórios temporários.
- Restringir RDP para controladores de domínio, revisar grupos privilegiados e auditar criação de contas com nomes semelhantes a usuários legítimos.
- Investigar hosts usados como possíveis proxies internos, correlacionando conexões externas persistentes, tráfego XML e atividade administrativa posterior.
0 Comentários