В отдел реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. Расследование показало, что этот инцидент является частью новой кампании против госучреждений России и Белоруссии, за которой специалисты департамента исследования угроз PT ESC наблюдают с октября 2024 года. За кибератаками стоит APT-группировка с десятилетним стажем Cloud Atlas.
Атака, к расследованию которой привлекли команду PT ESC IR, была обнаружена на раннем этапе, когда злоумышленники проводили разведку. Благодаря своевременному реагированию сотрудников организации и специалистов PT ESC им не удалось закрепиться в ИТ-инфраструктуре и нанести значительный ущерб. Группировка Cloud Atlas действует с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна нацелена в основном на госорганы России и Белоруссии.
Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на темы геополитики, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты. В потоки таблиц этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее в целях шпионажа и кражи данных.
«За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Например, в новой кампании модули ВПО хранились на Яндекс Диске. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2 использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами, — комментирует Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies. — В целом мы видим, что Cloud Atlas совершенствует свои тактики, техники и инструментарий, а также развивает собственное ВПО, повышая его эффективность в условиях усиления защиты ИТ-инфраструктур».
Для предотвращения подобных атак эксперты рекомендуют пользователям соблюдать актуальные общепринятые правила ИБ: детально изучать письма перед тем, как открывать вложения, проверять адреса отправителей и сохранять спокойствие, какими бы ни были темы сообщений. Не менее важно своевременно обращаться к специалистам по расследованию и реагированию на инциденты для минимизации ущерба компании.
Оригинал публикации на сайте CISOCLUB: "Десять лет в облаках: АРТ-группировка Cloud Atlas атакует госсектор России и Белоруссии, используя обновленный инструментарий".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.