Извършителят, наречен Cloud Atlas, е свързан с набор от spear-phishing атаки срещу руски предприятия.
Според доклад на F.A.C.C.T., самостоятелна компания за киберсигурност, създадена след официалното излизане на Group-IB от Русия по-рано тази година, сред целите са руско агропромишлено предприятие и държавна изследователска компания.
Cloud Atlas, действаща поне от 2014 г., е група за кибершпионаж с неизвестен произход. Наричана още Clean Ursa, Inception, Oxygen и Red October, акторът на заплаха е известен с постоянните си кампании, насочени срещу Русия, Беларус, Азербайджан, Турция и Словения.
През декември 2022 г. Check Point и Positive Technologies подробно описаха многоетапните последователности на атаките, които доведоха до внедряването на базираната на PowerShell задна врата, наречена PowerShower, както и DLL полезен товар, способен да комуникира с контролиран от бандата сървър.
Отправната точка е фишинг съобщение, съдържащо примамлив документ, който използва CVE-2017-11882, шестгодишен недостатък, свързан с повреда на паметта в редактора на уравнения на Microsoft Office, за да стартира изпълнението на злонамерен полезен товар – техника, която Cloud Atlas е използвал още през октомври 2018 г.
„Мащабните spear-phishing кампании на групата продължават да използват прости, но ефективни методи, за да компрометират целите си“, отбеляза Kaspersky през август 2019 г. „За разлика от много други набори за проникване, Cloud Atlas не е избрал да използва импланти с отворен код по време на последните си кампании, за да бъде по-малко дискриминационен.“
F.A.C.C.T. описва най-новата верига за убиване като подобна на тази, описана от Positive Technologies, с успешна експлоатация на CVE-2017-11882 чрез инжектиране на RTF шаблона, проправяща пътя за шелкод, който отговаря за изтеглянето и стартирането на обфускулиран HTA файл. Писмата произхождат от популярните руски имейл услуги Yandex Mail и Mail.ru на VK.
Впоследствие зловредното HTML приложение стартира Visual Basic Script (VBS) файлове, които в крайна сметка отговарят за извличането и изпълнението на неизвестен VBS код от отдалечен сървър.
„Групата Cloud Atlas е активна от много години, като внимателно обмисля всеки аспект на своите атаки“, заявиха от Positive Technologies за групата миналата година.
„Инструментариумът на групата не се е променил от години – те се опитват да скрият зловредния си софтуер от изследователите, като използват еднократни заявки за полезен товар и ги валидират. Групата избягва инструментите за откриване на мрежови и файлови атаки, като използва легитимно съхранение в облак и добре документирани софтуерни функции, по-специално в Microsoft Office.“
Разработката идва в момент, в който компанията заяви, че най-малко 20 организации, разположени в Русия, са били компрометирани с помощта на Decoy Dog, модифицирана версия на Pupy RAT, приписвайки я на извършител на усъвършенствани постоянни заплахи, който тя нарича Hellhounds.
Активно поддържаният зловреден софтуер, освен че позволява на противника да контролира дистанционно заразения хост, е снабден със скрипт, предназначен да предава телеметрични данни на „автоматичен“ акаунт в Mastodon с име „Lamir Hasabat“ (@lahat) в инстанцията Mindly.Social.
„След като бяха публикувани материали за първата версия на Decoy Dog, авторите на зловредния софтуер положиха много усилия, за да затруднят откриването и анализа му както в трафика, така и във файловата система“, казват изследователите по сигурността Станислав Пижов и Александър Григорян.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.