«Лаборатория Касперского»: кибергруппировка Cloud Atlas скрытно атакует новые цели в России

Спецпроекты

png" alt="">

«Лаборатория Касперского» зафиксировала новую волну сложных целевых атак, за которыми стоит известная кибергруппировка Cloud Atlas. Целями злоумышленников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового, усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрывать следы своего присутствия.

Группировка Cloud Atlas была впервые замечена экспертами по информационной безопасности в 2014 г., с тех пор она не прекращала свою деятельность. Как правило, атакующих интересуют учетные данные зараженного компьютера, а также документы в популярных форматах .txt, .pdf, .xls, .doc. Для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением. Именно его Cloud Atlas и изменили в своих последних атаках.

Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере. Теперь же на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о зараженном компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой авторский бэкдор – Cloud Atlas.

Помимо того, что эта схема заражения в целом более сложная, HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации.

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации, которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает, что этот подход уже не дает стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 г., которая разрабатывала новые инструменты для каждой жертвы. Впоследствии все больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Все это говорит о том, что знания, навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее, чем у злоумышленников», – отметил Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского».

Чтобы противостоять таким сложным угрозам, «Лаборатория Касперского» рекомендует организациям использовать специализированные решения для предотвращения целевых атак, которые опираются на такой инструмент, как индикаторы атаки. Эти индикаторы отслеживают тактики, техники и действия, которые предпринимают злоумышленники, вместо того чтобы концентрироваться на выявлении конкретных вредоносных инструментов. К примеру, индикаторы атаки присутствуют в новейших версиях решений Kaspersky Endpoint Detection and Response и Kaspersky Anti Targeted Attack.

Взломан один из самых защищенных в мире промышленных контроллеров

IBM научилась взламывать чужие корпоративные сети с помощью курьерской доставки

«Чипокалипсис» вернулся. Под ударом ПК на процессорах Intel и AMD

Компонент LibreOffice для обучения программированию умеет захватывать ПК. Исправить проблему пока не выходит

В системе реального времени VxWorks 13 лет живут шесть «дыр». В опасности миллиарды устройств по всему миру

Как бесплатно проверить ПО телефонов, электроники и бытовой техники

Ольга Макрецкая

директор по учету и финконтролю «Газпром нефти»

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Ольга Макрецкая

директор по учету и финконтролю «Газпром нефти»

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе