Cloud Atlas, ein Advanced Persistent Threat (APT), auch bekannt als Inception, hat sein Angriffsarsenal mit neuen Tools aktualisiert, die es ihm ermöglichen, sich der Erkennung durch Standard-Kompromissindikatoren zu entziehen. Diese aktualisierte Infektionskette wurde in mehreren Organisationen in Osteuropa, Zentralasien und Russland beobachtet.
Cloud Atlas ist eine kriminelle Gruppe mit einer langen Geschichte von Cyberspionage-Operationen, die auf Branchen, Regierungsbehörden und andere Einrichtungen abzielen. Es wurde erstmals 2014 identifiziert und ist bis heute aktiv. Kürzlich stellten Kaspersky-Forscher fest, dass Cloud Atlas den Finanz- und Luftfahrtsektor international sowie Regierungs- und religiöse Organisationen in mehreren Ländern wie Portugal, Rumänien, der Türkei, der Ukraine, Russland, Turkmenistan, Afghanistan und Kirgisistan ins Visier genommen hat. Sobald Cloud Atlas Zugriff gewährt wurde, kann er:
Sammeln Sie Informationen über das System, auf das er zugegriffen hat
Anmeldung
Extrahieren Sie die .txt .pdf .xls .doc-Dateien von einem Befehls- und Steuerungsserver
Die Vorgehensweise des Wolkenatlas hat sich seit 2018 nicht wesentlich geändert. Die jüngsten Angriffswellen haben jedoch gezeigt, dass eine neue Art der Infizierung von Opfern angewendet wird, die darauf hinweist, wie diese Gruppe seitliche Bewegungen durch ihr Netzwerk ausführt.
In der ersten Version leitete Cloud Atlas den Angriff ein, indem eine E-Mail zum Speerfischen mit einem böswilligen Anhang an ein bestimmtes Ziel gesendet wurde. Bei Erfolg wurde PowerShower, die angehängte Malware, die zur ersten Aufklärung und zum Herunterladen zusätzlicher schädlicher Module verwendet wurde, ausgeführt, damit Kriminelle mit dem Vorgang fortfahren können.
Die kürzlich aktualisierte Infektionskette verschiebt die Ausführung von PowerShower auf einen späteren Zeitpunkt. Nach der Erstinfektion wird eine schädliche HTML-Anwendung heruntergeladen und auf dem Zielcomputer ausgeführt. Zu diesem Zeitpunkt beginnt die Anwendung mit dem Sammeln von Informationen vom angegriffenen Computer und lädt VBShower herunter und führt es aus - ein weiteres schädliches Modul. VBShower löscht dann Spuren des Vorhandenseins der Malware auf dem System und kommuniziert mit seinen Erstellern über den Befehls- und Steuerungsserver, um zu entscheiden, welche weiteren Maßnahmen ergriffen werden sollen. Abhängig vom empfangenen Befehl lädt diese Malware PowerShower oder eine andere bekannte Backdoor der zweiten Ebene von Cloud Atlas herunter und führt sie aus.
Die neue Infektionskette ist nicht nur viel komplexer, sondern unterscheidet sich auch dadurch, dass die schädliche HTML-Anwendung und das VBShower-Modul polymorph sind. Dies bedeutet, dass der Code in beiden Modulen bei jeder Infektion neu und eindeutig ist. Laut Experten von Kaspersky wird diese aktualisierte Version ausgeführt, um Malware für Sicherheitslösungen unsichtbar zu machen, die auf den gängigsten Kompromissindikatoren basieren.
„In Sicherheitsgemeinschaften ist es gängige Praxis, Kompromissindikatoren (IoC) zu teilen, die sich auf böswillige Vorgänge beziehen, die bei Suchvorgängen gefunden wurden. Diese Praxis ermöglicht es uns, schnell auf internationale Cyberspionage-Operationen zu reagieren und weitere Kompromisse zu verhindern. Wie wir bereits 2016 vorausgesagt haben, sind IoCs als Tools zur Erkennung eines gezielten Angriffs in Ihrem Netzwerk veraltet. Dies geschah zuerst mit ProjectSauron, das für jedes seiner Opfer einen einzigartigen Satz von IoCs erstellen würde und weiterhin Open-Source-Tools anstelle einzigartiger Tools für ihre Spionageoperationen verwendete. Dieser Trend wird durch das jüngste Beispiel für polymorphe Malware bestätigt. Dies bedeutet nicht, dass es immer schwieriger wird, die Verantwortlichen zu identifizieren, sondern dass sich Sicherheitsfähigkeiten und Verteidigungs-Toolkits sowie die Tools und Fähigkeiten von Cyberkriminellen weiterentwickeln müssen ", sagte Felix Aime, Sicherheitsforscher beim Kaspersky Global Research and Analysis Team.
Kaspersky empfiehlt Unternehmen, sich mit zielgerichteten Lösungen auszustatten, die von Angriffsindikatoren (Indicators of Attack, IoA) begleitet werden und sich auf Taktiken, Techniken oder Aktionen konzentrieren, die Kriminelle bei der Vorbereitung auf einen Angriff ausführen können. IoAs verfolgen die verwendeten Techniken unabhängig von den verwendeten spezifischen Tools. Die neuesten Versionen von Kaspersky Endpoint Detection and Response und Kaspersky Anti Targeted Attack verfügen beide über eine neue IoA-Datenbank, die von Kasperskys erfahrenen Bedrohungsjägern verwaltet und aktualisiert wird. "
#digife #website #website #ecommerce #ecommerce #webdesign #seo #digitalmarketing #graphicdesign #business #websitedesign #webdevelopment #webdesigner #branding #webdeveloper #socialmediamarketing #entrepreneur #startup #digital #malware #hacker #hacking #security #virus #cybercrime #antivirus #cyberattack #spyware
Quelle http://bit.ly/2ZwKM8t
