Десять лет в облаках: АРТ-группировка Cloud Atlas атакует госсектор России и Белоруссии, используя обновленный инструментарий

Десять лет в облаках: АРТ-группировка Cloud Atlas атакует госсектор России и Белоруссии, используя обновленный инструментарий

Изображение: Positive Technologies

В отдел реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. Расследование показало, что этот инцидент является частью новой кампании против госучреждений России и Белоруссии, за которой специалисты департамента исследования угроз PT ESC наблюдают с октября 2024 года. За кибератаками стоит APT-группировка с десятилетним стажем Cloud Atlas.

Атака, к расследованию которой привлекли команду PT ESC IR, была обнаружена на раннем этапе, когда злоумышленники проводили разведку. Благодаря своевременному реагированию сотрудников организации и специалистов PT ESC им не удалось закрепиться в ИТ-инфраструктуре и нанести значительный ущерб. Группировка Cloud Atlas действует с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна нацелена в основном на госорганы России и Белоруссии.

Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на темы геополитики, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты. В потоки таблиц этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее в целях шпионажа и кражи данных.

«За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Например, в новой кампании модули ВПО хранились на Яндекс Диске. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2 использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами, — комментирует Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies.В целом мы видим, что Cloud Atlas совершенствует свои тактики, техники и инструментарий, а также развивает собственное ВПО, повышая его эффективность в условиях усиления защиты ИТ-инфраструктур».

Для предотвращения подобных атак эксперты рекомендуют пользователям соблюдать актуальные общепринятые правила ИБ: детально изучать письма перед тем, как открывать вложения, проверять адреса отправителей и сохранять спокойствие, какими бы ни были темы сообщений. Не менее важно своевременно обращаться к специалистам по расследованию и реагированию на инциденты для минимизации ущерба компании.

Positive Technologies
Автор: Positive Technologies
Positive Technologies — ведущий разработчик решений для информационной безопасности. Наши технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400». Уже 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям. Positive Technologies — первая и единственная публичная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI).
Комментарии: