информационная безопасностьПромышленность была предупреждена о недавней серии фишинговых атак со стороны известной организации Cloud Atlas, занимающейся кибершпионажем, направленных на российские агропромышленные предприятия и государственные научно-исследовательские институты. Эта новость содержится в отчете независимой компании F.A.C.C.T., которая была создана в начале этого года после разделения бывшей команды Group-IB.
Организация Yuntu действует по меньшей мере с 2014 года, и ее истинная личность остается неизвестной, поскольку она использовала несколько псевдонимов, включая Clean Ursa, Inception, Oxygen и Red October. Организация печально известна своей долгой историей кибершпионажа против таких стран, как Россия, Беларусь, Азербайджан, Турция и Словения.
В декабре 2022 года компании Check Point и Positive Technologies, занимающиеся вопросами безопасности, раскрыли сложную методику атак организации Cloud Atlas, которая включала в себя развертывание программы-бэкдора на базе PowerShell под названием PowerShower, а также вредоносного DLL-компонента, способного взаимодействовать с сервером, контролируемым злоумышленниками.
Хитрая тактика: использование старых уязвимостей для загрузки вредоносных файлов
Атака началась с обычного, на первый взгляд, письма-приманки, содержащего вредоносный документ, который использовал уязвимость CVE-2017-11882. Уязвимость представляет собой дефект повреждения памяти шестилетней давности в редакторе формул Microsoft Office, который организация Cloud Graph начала эксплуатировать еще в октябре 2018 года для выполнения вредоносных программ.
В отчете за август 2019 года компания "Касперский" заявила: "В масштабных атаках "копьеметателей" организации Cloud Graph по-прежнему используется этот простой, но очень эффективный метод кражи информации у своих целей. В отличие от других атакующих групп, вместо имплантов с открытым исходным кодом в последних атаках организации Cloud Graph используется пользовательское вредоносное ПО для повышения скрытности".
В отчете F.A.C.C.T. отмечается, что последние атаки похожи на те, что ранее были обнаружены компанией Positive Technologies, которая также использовала уязвимость CVE-2017-11882 для внедрения вредоносных шаблонов RTF, которые, в свою очередь, загружали и запускали обфусцированные файлы HTA. Примечательно, что эти письма обычно приходят с популярных российских почтовых сервисов Yandex Mail и VK's Mail.ru.
Затем вредоносное HTML-приложение запускает файл Visual Basic Script (VBS), который загружает и выполняет неизвестный VBS-код с удаленного сервера, завершая процесс атаки.
"Организация Cloud Mapping очень сложна, и они контролируют каждый аспект своих атак", - говорится в прошлогоднем отчете Positive Technologies. "Инструменты атак группы практически не изменились за прошедшие годы, и они уклоняются от обнаружения с помощью одноразовых запросов полезной нагрузки с аутентификацией, а также используя легальные облачные хранилища и возможности Microsoft Office".
Опасайтесь Decoy Dog: еще одна вредоносная программа, нацеленная на Россию
Помимо атаки организации Cloud Mapping, F.A.C.C.T. также сообщила о другой вредоносной программе под названием Decoy Dog, варианте Pupy RAT, которой были атакованы не менее 20 российских организаций, что F.A.C.C.T. приписывает другой организации, занимающейся продвинутыми постоянными угрозами, под названием Hellhounds.
Вредоносная программа не только позволяет злоумышленникам удаленно управлять зараженными узлами, но и содержит скрипт, предназначенный для передачи телеметрических данных в аккаунт Mastodon под именем "Ламир Хасабат" (@lahat).
Исследователи безопасности Станислав Пыжов и Александр Григорян заявили: "После раскрытия информации о первой версии Decoy Dog авторы вредоносного ПО предприняли ряд шагов, чтобы значительно увеличить его обнаружение в трафике и файловых системах".
Предупреждение о безопасности: опасайтесь атак Harpoon, обновляйте информацию об уязвимостях программного обеспечения
Этот инцидент еще раз напоминает пользователям и компаниям о необходимости остерегаться опасностей, связанных с фишинговыми атаками. Своевременное обновление программного обеспечения для устранения уязвимостей в системе безопасности, установка надежного защитного программного обеспечения, бдительность и осторожность при получении подозрительных писем - вот важные меры защиты от подобных атак.
Автор статьи - SnowFlake, при воспроизведении просьба указывать: https://cncso.com/ru/cloud-atlas-spear-phishing-attacks-hit-russian-firms.html.