СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#ИБ#Облака

Cloud Atlas APT: эволюция кибератак на ВПК России

Cloud Atlas APT: эволюция кибератак на ВПК России

Источник: www.ptsecurity.com

Группа Cloud Atlas APT, известная своими атаками на российский военно-промышленный комплекс, вновь усилила свою деятельность в области кибератак. Недавний отчет от группы реагирования на инциденты экспертного центра безопасности Positive Technologies (PT ESC IR) раскрыл степень и характер использованных ими методов, которые становятся все более изощренными и трудными для обнаружения.

Методы атаки

Cloud Atlas использует уникальные методы, в том числе:

  • Создание вредоносных документов Microsoft Office на основе ведомственных шаблонов, вероятно, украденных из ранее зараженных сетей.
  • Очищение метаданных вредоносных файлов для предотвращения привязки к зараженным учреждениям.
  • Использование скомпрометированных учетных записей электронной почты для атак на компрометацию деловой электронной почты (BEC).

Такой подход не только маскирует их действия, но и придает документам видимость законности. Хакеры также тщательно выбирают время для атак, нацеливаясь на периоды, когда сотрудники наиболее отвлечены, например, поздно вечером по пятницам.

Управление и коммуникации

В ходе расследования, проведенного PT ESC IR в ноябре 2024 года, были выявлены сложные механизмы управления, используемые хакерами. Вредоносные документы, отправляемые на предприятия-мишени, при открытии устанавливали соединения с командным центром группы. Анализ инфрастуктуры показал:

  • Способность отправлять дополнительные вредоносные документы Office.
  • Скрытие информации центра управления в альтернативных потоках данных файлов.

Такое поведение является отличительной чертой технологий Cloud Atlas.

Применение новых технологий

В начале января 2025 года было обнаружено новое вредоносное ПО, связанное с этой инфраструктурой. Это указывает на изменение стратегий группы. Они начали использовать зашифрованные каналы связи, особенно через IMAP на TCP-порту 993, что затрудняет их обнаружение и обход систем безопасности.

Выводы и рекомендации

По мере продолжения мониторинга PT ESC TI также обнаружила, что вредоносные документы не вызывают традиционных антивирусных предупреждений. Это подчеркивает сложную стратегию уклонения, используемую группой. Ранее Cloud Atlas регулярно использовала закрытые шаблоны и несоответствующие даты в созданных документах, что указывает на высокий уровень операционной безопасности.

Такое тщательное внимание к деталям, как в содержании, так и во внешнем виде сообщений, способствует достижению их цели использования надежных сред для вредоносных действий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: