Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Субъект угрозы, известный как Cloud Atlas, был связан с рядом фишинговых атак на российские предприятия.
Целями были российское агропромышленное предприятие и государственная исследовательская компания, согласно отчету F.A.C.C.T., автономной компании по кибербезопасности, созданной после официального выхода Group-IB из России в начале этого года.
Cloud Atlas, действующая как минимум с 2014 года, является группой кибершпионажа неизвестного происхождения. Злоумышленник, также известный как Clean Ursa, Inception, Oxygen и Red October, известен своими постоянными кампаниями, нацеленными на Россию, Беларусь, Азербайджан, Турцию и Словению.
В декабре 2022 года Check Point и Positive Technologies подробно описали многоступенчатые последовательности атак, которые привели к развертыванию бэкдора на базе PowerShell, известного как Powersower, а также полезных DLL-файлов, способных взаимодействовать с сервером, контролируемым участниками.
Отправной точкой является фишинговое сообщение, содержащее документ-приманку, который использует CVE-2017-11882, уязвимость, связанную с повреждением памяти в редакторе уравнений Microsoft Office шестилетней давности, для запуска вредоносных полезных нагрузок, метод, который Cloud Atlas применил еще в октябре 2018 года.
"Массовые фишинговые кампании злоумышленника продолжают использовать его простые, но эффективные методы для компрометации своих целей", - отметил Касперский в августе 2019 года. "В отличие от многих других систем вторжения, Cloud Atlas в своих недавних кампаниях не использовала имплантаты с открытым исходным кодом, чтобы быть менее разборчивой".
F.A.C.C.T. описал последнюю цепочку убийств как аналогичную той, что описана Positive Technologies, при этом успешное использование CVE-2017-11882 посредством внедрения шаблона RTF прокладывает путь для шелл-кода, который отвечает за загрузку и запуск запутанного HTA-файла. Письма отправляются с популярных российских почтовых сервисов Яндекс Почта и ВКонтакте Mail.ru.
Вредоносное HTML-приложение впоследствии запускает файлы Visual Basic Script (VBS), которые в конечном итоге отвечают за извлечение и выполнение неизвестного кода VBS с удаленного сервера.
"Группа Cloud Atlas работает уже много лет, тщательно продумывая каждый аспект своих атак", - заявили о группе Positive Technologies в прошлом году.
"Инструментарий группы не менялся годами — они пытаются скрыть свое вредоносное ПО от исследователей, используя одноразовые запросы полезной нагрузки и их проверку. Группа избегает инструментов обнаружения сетевых и файловых атак, используя законные облачные хранилища и хорошо документированные функции программного обеспечения, в частности Microsoft Office."
Развитие событий произошло после того, как компания заявила, что по меньшей мере 20 организаций, расположенных в России, были скомпрометированы с помощью Decoy Dog, модифицированной версии Pupy RAT, приписывая ее продвинутому субъекту постоянной угрозы, которого она называет Hellhounds.
Активно поддерживаемое вредоносное ПО, помимо того, что позволяет злоумышленнику удаленно управлять зараженным хостом, поставляется со скриплетом, предназначенным для передачи телеметрических данных в "автоматическую" учетную запись на Mastodon с именем "Ламир Хасабат" (@lahat) на Mindly.Социальный пример.
"После публикации материалов о первой версии Decoy Dog авторы вредоносного ПО приложили немало усилий, чтобы затруднить его обнаружение и анализ как в трафике, так и в файловой системе", - сказали исследователи в области безопасности Станислав Пыжов и Александр Григорян.
