Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception), за деятельностью которой специалисты наблюдают с 2014 года, расширила свой арсенал и теперь использует новую полиморфную малварь.

В основном группировка Cloud Atlas занимается кибершпионскими операциями, и главным целями хакеров являются компании промышленной отрасли и правительственные организации. С начала 2019 года фишинговые кампании группы в основном были сосредоточенные на России, Центральной Азии и некоторых регионах Украины.

Аналитики рассказывают, что в целом с 2018 года группировка полагается на уже доказавшую свою эффективность тактику и проверенную малварь. Так, хакеры по-прежнему используют фишинговые письма для выявления крупных жертв. Такие письма комплектуются документами Office, в которых используются вредоносные удаленные шаблоны, размещенные на удаленных серверах. Эту тактику группировки уже описывали и эксперты «Лаборатории Касперского» и их коллеги из Palo Alto Networks.

Ранее, сразу после эксплуатации уязвимостей CVE-2017-11882(в Microsoft Equation) и CVE-2018-0802, хакеры задействовали свою малварь PowerShower. Но в последние месяцы цепочка заражения изменилась. Теперь в нее также входит полиморфная HTA, новый полиморфный VBS-имплант, VBShower, предназначенный для выполненич PowerShower и модульного бэкдора второй стадии заражения, который был описан исследователями еще пять лет назад и тех пор не менялся.

Кроме того, перед применением загрузчиков второго этапа заражения VBShower также позаботится о том, чтобы все свидетельства присутствия малвари были удалены из системы. Так, он пытается удалить все файлы, содержащиеся в %APPDATA%\..\Local\Temporary Internet Files\Content.Word и %APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\.

HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации. В итоге новая, усложнившаяся цепочка заражения выглядит следующим образом:

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации, которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает, что этот подход уже не даёт стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 году, которая разрабатывала новые инструменты для каждой жертвы. Впоследствии всё больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Всё это говорит о том, что знания, навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее, чем у злоумышленников», – отметил Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского».

В блоге компании были опубликованы обновленные индикаторы компрометации, включая IP-адреса управляющих серверов, некоторые email-адреса преступников, ключи реестра и так далее.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.