Търсене
Close this search box.

Cloud Atlas напада успешно руски компании

Извършителят, наречен Cloud Atlas, е свързан с набор от spear-phishing атаки срещу руски предприятия.

Според доклад на F.A.C.C.T., самостоятелна компания за киберсигурност, създадена след официалното излизане на Group-IB от Русия по-рано тази година, сред целите са руско агропромишлено предприятие и държавна изследователска компания.

Cloud Atlas, действаща поне от 2014 г., е група за кибершпионаж с неизвестен произход. Наричана още Clean Ursa, Inception, Oxygen и Red October, акторът на заплаха е известен с постоянните си кампании, насочени срещу Русия, Беларус, Азербайджан, Турция и Словения.

През декември 2022 г. Check Point и Positive Technologies подробно описаха многоетапните последователности на атаките, които доведоха до внедряването на базираната на PowerShell задна врата, наречена PowerShower, както и DLL полезен товар, способен да комуникира с контролиран от бандата  сървър.

Отправната точка е фишинг съобщение, съдържащо примамлив документ, който използва CVE-2017-11882, шестгодишен недостатък, свързан с повреда на паметта в редактора на уравнения на Microsoft Office, за да стартира изпълнението на злонамерен полезен товар – техника, която Cloud Atlas е използвал още през октомври 2018 г.

Spear-Phishing Attacks

„Мащабните spear-phishing кампании на групата продължават да използват прости, но ефективни методи, за да компрометират целите си“, отбеляза Kaspersky през август 2019 г. „За разлика от много други набори за проникване, Cloud Atlas не е избрал да използва импланти с отворен код по време на последните си кампании, за да бъде по-малко дискриминационен.“

F.A.C.C.T. описва най-новата верига за убиване като подобна на тази, описана от Positive Technologies, с успешна експлоатация на CVE-2017-11882 чрез инжектиране на RTF шаблона, проправяща пътя за шелкод, който отговаря за изтеглянето и стартирането на обфускулиран HTA файл. Писмата произхождат от популярните руски имейл услуги Yandex Mail и Mail.ru на VK.

Впоследствие зловредното HTML приложение стартира Visual Basic Script (VBS) файлове, които в крайна сметка отговарят за извличането и изпълнението на неизвестен VBS код от отдалечен сървър.

„Групата Cloud Atlas е активна от много години, като внимателно обмисля всеки аспект на своите атаки“, заявиха от Positive Technologies за групата миналата година.

„Инструментариумът на групата не се е променил от години – те се опитват да скрият зловредния си софтуер от изследователите, като използват еднократни заявки за полезен товар и ги валидират. Групата избягва инструментите за откриване на мрежови и файлови атаки, като използва легитимно съхранение в облак и добре документирани софтуерни функции, по-специално в Microsoft Office.“

Разработката идва в момент, в който компанията заяви, че най-малко 20 организации, разположени в Русия, са били компрометирани с помощта на Decoy Dog, модифицирана версия на Pupy RAT, приписвайки я на извършител на усъвършенствани постоянни заплахи, който тя нарича Hellhounds.

Активно поддържаният зловреден софтуер, освен че позволява на противника да контролира дистанционно заразения хост, е снабден със скрипт, предназначен да предава телеметрични данни на „автоматичен“ акаунт в Mastodon с име „Lamir Hasabat“ (@lahat) в инстанцията Mindly.Social.

„След като бяха публикувани материали за първата версия на Decoy Dog, авторите на зловредния софтуер положиха много усилия, за да затруднят откриването и анализа му както в трафика, така и във файловата система“, казват изследователите по сигурността Станислав Пижов и Александър Григорян.

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

КНДР се възползва от 2 подт...

Този месец MITRE ще добави две...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!