Cloud Atlas, Advanced Persistent Threat (APT), также известная как Inception, обновила свой арсенал атак новыми инструментами, позволяющими избежать обнаружения с помощью стандартных индикаторов компрометации. Эта обновленная цепочка инфекций наблюдалась в нескольких организациях в Восточной Европе, Центральной Азии и России.
Cloud Atlas — это преступная группа с долгой историей кибершпионажных операций, нацеленных на промышленность, государственные учреждения и другие организации. Впервые он был обнаружен в 2014 году и продолжает действовать по сей день. Недавно исследователи «Лаборатории Касперского» отметили, что Cloud Atlas нацелен на финансовый и аэрокосмический секторы на международном уровне, а также на правительственные и религиозные организации в нескольких странах, включая Португалию, Румынию, Турцию, Украину, Россию, Туркменистан, Афганистан и Кыргызстан. Получив доступ к Cloud Atlas, он сможет:
собирать информацию о системе, к которой он получил доступ
авторизоваться
извлеките файлы .txt .pdf .xls .doc с сервера управления и контроля
Методы работы Cloud Atlas не сильно изменились с 2018 года, однако недавние волны атак показали, что используется новый способ заражения жертв, указывающий на то, как эта группа осуществляет боковое перемещение по своей сети.
В первой версии Cloud Atlas инициировал атаку, отправляя адрес электронной почты с вредоносным вложением на конкретную цель. В случае успеха PowerShower, прикрепленное вредоносное ПО, используемое для первоначальной разведки и загрузки дополнительных вредоносных модулей, запускалось, чтобы преступники могли продолжить операцию.
Недавно обновленная цепочка заражения откладывает выполнение PowerShower на более поздний этап; в то время как после первоначального заражения вредоносное HTML-приложение загружается и запускается на целевом компьютере. В этот момент приложение начинает собирать информацию с атакуемого компьютера, а также скачивает и запускает VBShower — еще один вредоносный модуль. Затем VBShower стирает следы присутствия вредоносного ПО в системе и связывается с его создателями через сервер управления и контроля, чтобы решить, какие дальнейшие действия предпринять. В зависимости от полученной команды эта вредоносная программа загрузит и запустит PowerShower или другой известный бэкдор второго уровня Cloud Atlas.
Помимо того, что новая цепочка заражения намного сложнее, основным отличием является тот факт, что вредоносное HTML-приложение и модуль VBShower являются полиморфными. Это означает, что код в обоих модулях будет новым и уникальным при каждом заражении. По словам экспертов «Лаборатории Касперского», эта обновленная версия предназначена для того, чтобы сделать вредоносное ПО невидимым для решений безопасности, использующих наиболее распространенные индикаторы компрометации.
«В сообществах безопасности стало обычной практикой делиться индикаторами компрометации (IoC), связанными с вредоносными операциями, обнаруженными во время поиска. Эта практика позволяет нам оперативно реагировать на международные операции кибершпионажа и предотвращать дальнейшие компрометации. Однако, как мы и предсказывали еще в 2016 году, IoC как инструменты для обнаружения целевой атаки в вашей сети устарели. Впервые это произошло с ProjectSauron, который должен был создать уникальный набор IoC для каждой из своих жертв и который продолжал использовать инструменты с открытым исходным кодом вместо уникальных инструментов в своих шпионских операциях. Эта тенденция подтверждается недавним примером полиморфного вредоносного ПО. Это не означает, что становится все труднее идентифицировать виновных, но что навыки безопасности и наборы средств защиты должны развиваться так же, как инструменты и возможности киберпреступников», — прокомментировал Феликс Эме, исследователь безопасности в Kaspersky Global. Research and Analysis Team.
«Лаборатория Касперского» рекомендует компаниям вооружиться антицелевыми решениями, сопровождаемыми индикаторами атаки (IoA), которые фокусируются на тактике, методах или действиях, которые преступники могут предпринять при подготовке к атаке. IoA отслеживают используемые методы независимо от конкретных используемых инструментов. В последних версиях Kaspersky Endpoint Detection and Response и Kaspersky Anti Targeted Attack используется новая база данных IoA, управляемая и обновляемая опытными охотниками за угрозами «Лаборатории Касперского».
#digife #website #website #ecommerce #ecommerce #webdesign #seo #digitalmarketing #graphicdesign #business #websitedesign #webdevelopment #webdesigner #branding #webdeveloper #socialmediamarketing #entrepreneur #startup #digital #malware #hacker #hacking #security #virus #cybercrime #antivirus #cyberattack #spyware
Источник http://bit.ly/2ZwKM8t
