Следующая новость
Предыдущая новость

Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

13.08.2019 15:56
Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

  • Содержание выпуска
  • Подписка на «Хакер»

Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception), за деятельностью которой специалисты наблюдают с 2014 года, расширила свой арсенал и теперь использует новую полиморфную малварь.

В основном группировка Cloud Atlas занимается кибершпионскими операциями, и главным целями хакеров являются компании промышленной отрасли и правительственные организации. С начала 2019 года фишинговые кампании группы в основном были сосредоточенные на России, Центральной Азии и некоторых регионах Украины.

Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

Аналитики рассказывают, что в целом с 2018 года группировка полагается на уже доказавшую свою эффективность тактику и проверенную малварь. Так, хакеры по-прежнему используют фишинговые письма для выявления крупных жертв. Такие письма комплектуются документами Office, в которых используются вредоносные удаленные шаблоны, размещенные на удаленных серверах. Эту тактику группировки уже описывали и эксперты «Лаборатории Касперского» и их коллеги из Palo Alto Networks.

Ранее, сразу после эксплуатации уязвимостей CVE-2017-11882(в Microsoft Equation) и CVE-2018-0802, хакеры задействовали свою малварь PowerShower. Но в последние месяцы цепочка заражения изменилась. Теперь в нее также входит полиморфная HTA, новый полиморфный VBS-имплант, VBShower, предназначенный для выполненич PowerShower и модульного бэкдора второй стадии заражения, который был описан исследователями еще пять лет назад и тех пор не менялся.

Кроме того, перед применением загрузчиков второго этапа заражения VBShower также позаботится о том, чтобы все свидетельства присутствия малвари были удалены из системы. Так, он пытается удалить все файлы, содержащиеся в %APPDATA%..LocalTemporary Internet FilesContent.Word и %APPDATA%..Local SettingsTemporary Internet FilesContent.Word

В итоге новая, усложнившаяся цепочка заражения выглядит следующим образом:

Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

В блоге компании были опубликованы обновленные индикаторы компрометации, включая IP-адреса управляющих серверов, некоторые email-адреса преступников, ключи реестра и так далее.

Источник

Последние новости