«Лаборатория Касперского» зафиксировала новую волну трудных целевых атак, за которыми стоит знаменитая кибергруппировка Cloud Atlas.
Как говорится в известьи компании, целями преступников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии.
Характерной особенностью этих атак стало использование нового,усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрадывать следы своего присутствия.
Группировка Cloud Atlas была впервые замечена знатоками по информационной безопасности в 2014 году, с тех пор она не переставала свою деятельность. Как правило, нападающих интересуют учётные данные заражённого компьютера, а также документы в популярных форматах .txt, .pdf, .xls, .doc. Для заражения своих жертв преступники рассылают адресные фишинговые письма с вредоносным вложением. Именно его Cloud Atlas и изменили в своих последних атаках.
Как отмечают эксперты, ранее в случае удачной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал иное вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере. И уже на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о заражённом компьютере. Затем это приложение загружает модульVBShower, который стирает следы пребыванья преступников в системе и отправляет собранную информацию Cloud Atlas для проверки. Исходя из полученных в ответ команд VBShower подгрузит либо уже общеизвестный PowerShower, либо другой авторский бэкдор –Cloud Atlas.
Помимо того, что эта схема заражения в целом более трудная, HTML-приложение и модуль VBShower являются полиморфными, то бишь их код в любом новом случае будет уникальным. А это крепко затрудняет обнаружение атаки за счет общеизвестных индикаторов компрометации.