Рекомендуем почитать:
Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception), за деятельностью которой специалисты наблюдают с 2014 года, расширила свой арсенал и теперь использует новую полиморфную малварь.
В основном группировка Cloud Atlas занимается кибершпионскими операциями, и главным целями хакеров являются компании промышленной отрасли и правительственные организации. С начала 2019 года фишинговые кампании группы в основном были сосредоточенные на России, Центральной Азии и некоторых регионах Украины.
Аналитики рассказывают, что в целом с 2018 года группировка полагается на уже доказавшую свою эффективность тактику и проверенную малварь. Так, хакеры по-прежнему используют фишинговые письма для выявления крупных жертв. Такие письма комплектуются документами Office, в которых используются вредоносные удаленные шаблоны, размещенные на удаленных серверах. Эту тактику группировки уже описывали и эксперты «Лаборатории Касперского» и их коллеги из Palo Alto Networks.
Ранее, сразу после эксплуатации уязвимостей CVE-2017-11882(в Microsoft Equation) и CVE-2018-0802, хакеры задействовали свою малварь PowerShower. Но в последние месяцы цепочка заражения изменилась. Теперь в нее также входит полиморфная HTA, новый полиморфный VBS-имплант, VBShower, предназначенный для выполненич PowerShower и модульного бэкдора второй стадии заражения, который был описан исследователями еще пять лет назад и тех пор не менялся.
Кроме того, перед применением загрузчиков второго этапа заражения VBShower также позаботится о том, чтобы все свидетельства присутствия малвари были удалены из системы. Так, он пытается удалить все файлы, содержащиеся в %APPDATA%..LocalTemporary Internet FilesContent.Word и %APPDATA%..Local SettingsTemporary Internet FilesContent.Word
В итоге новая, усложнившаяся цепочка заражения выглядит следующим образом:
В блоге компании были опубликованы обновленные индикаторы компрометации, включая IP-адреса управляющих серверов, некоторые email-адреса преступников, ключи реестра и так далее.
Читайте также
Последние новости