Журнал ПЛАС » Новости » Безопасность » 238 просмотров

Кибергруппировка Cloud Atlas скрыто атакует новые цели в РФ и Евразии

Кибергруппировка Cloud Atlas скрыто атакует новые цели в РФ и Евразии

«Лаборатория Касперского» зафиксировала новую волну сложных целевых атак,за которыми стоит известная кибергруппировка Cloud Atlas.

Целями злоумышленников стали международные,экономические и аэрокосмические компании,а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового,усовершенствованного способа проникновения в корпоративные сети,который позволяет киберпреступникам скрывать следы своего присутствия.

Группировка Cloud Atlas была впервые замечена экспертами по информационной безопасности в 2014 году,с тех пор она не прекращала свою деятельность. Как правило,атакующих интересуют учётные данные заражённого компьютера,а также документы в популярных форматах .txt,.pdf,.xls,.doc. Для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением. Именно его Cloud Atlas и изменили в своих последних атаках.

Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower,который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере. Теперь же на атакованном устройстве устанавливается вредоносное HTML-приложение,которое собирает информацию о заражённом компьютере. Затем это приложение загружает модуль VBShower,который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower,либо другой авторский бэкдор –Cloud Atlas.

Помимо того,что эта схема заражения в целом более сложная,HTML-приложение и модуль VBShower являются полиморфными,то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации.

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации,которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает,что этот подход уже не даёт стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 году,которая разрабатывала новые инструменты для каждой жертвы. Впоследствии всё больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Всё это говорит о том,что знания,навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее,чем у злоумышленников»,– отметил Феликс Айме (Felix Aime),антивирусный эксперт «Лаборатории Касперского».

По материалам Лаборатории Касперского

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться",вы соглашаетесь с


политикой обработки персональных данных