Търсене
Close this search box.

Извършителят, наречен Cloud Atlas, е свързан с набор от spear-phishing атаки срещу руски предприятия.

Според доклад на F.A.C.C.T., самостоятелна компания за киберсигурност, създадена след официалното излизане на Group-IB от Русия по-рано тази година, сред целите са руско агропромишлено предприятие и държавна изследователска компания.

Cloud Atlas, действаща поне от 2014 г., е група за кибершпионаж с неизвестен произход. Наричана още Clean Ursa, Inception, Oxygen и Red October, акторът на заплаха е известен с постоянните си кампании, насочени срещу Русия, Беларус, Азербайджан, Турция и Словения.

През декември 2022 г. Check Point и Positive Technologies подробно описаха многоетапните последователности на атаките, които доведоха до внедряването на базираната на PowerShell задна врата, наречена PowerShower, както и DLL полезен товар, способен да комуникира с контролиран от бандата  сървър.

Отправната точка е фишинг съобщение, съдържащо примамлив документ, който използва CVE-2017-11882, шестгодишен недостатък, свързан с повреда на паметта в редактора на уравнения на Microsoft Office, за да стартира изпълнението на злонамерен полезен товар – техника, която Cloud Atlas е използвал още през октомври 2018 г.

Spear-Phishing Attacks

„Мащабните spear-phishing кампании на групата продължават да използват прости, но ефективни методи, за да компрометират целите си“, отбеляза Kaspersky през август 2019 г. „За разлика от много други набори за проникване, Cloud Atlas не е избрал да използва импланти с отворен код по време на последните си кампании, за да бъде по-малко дискриминационен.“

F.A.C.C.T. описва най-новата верига за убиване като подобна на тази, описана от Positive Technologies, с успешна експлоатация на CVE-2017-11882 чрез инжектиране на RTF шаблона, проправяща пътя за шелкод, който отговаря за изтеглянето и стартирането на обфускулиран HTA файл. Писмата произхождат от популярните руски имейл услуги Yandex Mail и Mail.ru на VK.

Впоследствие зловредното HTML приложение стартира Visual Basic Script (VBS) файлове, които в крайна сметка отговарят за извличането и изпълнението на неизвестен VBS код от отдалечен сървър.

„Групата Cloud Atlas е активна от много години, като внимателно обмисля всеки аспект на своите атаки“, заявиха от Positive Technologies за групата миналата година.

„Инструментариумът на групата не се е променил от години – те се опитват да скрият зловредния си софтуер от изследователите, като използват еднократни заявки за полезен товар и ги валидират. Групата избягва инструментите за откриване на мрежови и файлови атаки, като използва легитимно съхранение в облак и добре документирани софтуерни функции, по-специално в Microsoft Office.“

Разработката идва в момент, в който компанията заяви, че най-малко 20 организации, разположени в Русия, са били компрометирани с помощта на Decoy Dog, модифицирана версия на Pupy RAT, приписвайки я на извършител на усъвършенствани постоянни заплахи, който тя нарича Hellhounds.

Активно поддържаният зловреден софтуер, освен че позволява на противника да контролира дистанционно заразения хост, е снабден със скрипт, предназначен да предава телеметрични данни на „автоматичен“ акаунт в Mastodon с име „Lamir Hasabat“ (@lahat) в инстанцията Mindly.Social.

„След като бяха публикувани материали за първата версия на Decoy Dog, авторите на зловредния софтуер положиха много усилия, за да затруднят откриването и анализа му както в трафика, така и във файловата система“, казват изследователите по сигурността Станислав Пижов и Александър Григорян.

 

Източник: The Hacker News

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
27/11/2024

Фишинг кампании атакуват ен...

Кибератаките са насочени към потребителите на...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!