Кибергруппировка Cloud Atlas скрыто атакует новые цели в РФ и Евразии

Целями злоумышленников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового, усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрывать следы своего присутствия.

Группировка Cloud Atlas была впервые замечена экспертами по информационной безопасности в 2014 году, с тех пор она не прекращала свою деятельность. Как правило, атакующих интересуют учётные данные заражённого компьютера, а также документы в популярных форматах .txt, .pdf, .xls, .doc. Для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением. Именно его Cloud Atlas и изменили в своих последних атаках.

Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере. Теперь же на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о заражённом компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой авторский бэкдор –Cloud Atlas.

Помимо того, что эта схема заражения в целом более сложная, HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации.

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации, которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает, что этот подход уже не даёт стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 году, которая разрабатывала новые инструменты для каждой жертвы. Впоследствии всё больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Всё это говорит о том, что знания, навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее, чем у злоумышленников», – отметил Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского».

По материалам Лаборатории Касперского