Российские агропредприятия атакованы группой хакеров Cloud Atlas

Согласно отчету компании по кибербезопасности FACCT, в начале этого года, в число целей группы хакеров Cloud Atlas входили российское агропромышленное предприятие и государственная исследовательская компания.

Российские агропредприятия атакованы группой хакеров Cloud Atlas. Фото: СС0

Cloud Atlas занимается кибершпионажем с 2004 года. Группа известна своими постоянными кампаниями, направленными против России, Белоруссии, Азербайджана, Турции и Словении.

В декабре 2022 года Check Point и Positive Technologies подробно описали последовательности многоэтапных атак, которые привели к развертыванию бэкдора на основе PowerShell, называемого PowerShower, а также полезных нагрузок DLL, способных взаимодействовать с сервером, управляемым субъектом.

Отправной точкой является фишинговое сообщение, содержащее заманчивый документ, который использует CVE-2017-11882, связанную с повреждением памяти в редакторе формул Microsoft Office, для запуска зловреда. Этот метод применили в Cloud Atlas в октябре 2018 года.

В FACCT описали последнюю цепочку как аналогичную описанной Positive Technologies: успешная эксплуатация CVE-2017-11882 посредством внедрения шаблона RTF открывает путь для шелл-кода, отвечающего за загрузку и запуск запутанного HTA-файла. Письма приходят с популярных российских почтовых сервисов Яндекс Почта и Mail.ru ВКонтакте.

Вредоносное HTML-приложение впоследствии запускает файлы Visual Basic Script (VBS), которые в конечном итоге отвечают за получение и выполнение неизвестного кода VBS с удаленного сервера.

Специалисты по безопасности считают, что Cloud Atlas действует уже много лет, тщательно продумывая каждый аспект своих атак. Ее инструментарий не менялся уже много лет. Хакеры пытаются скрыть свое вредоносное ПО от исследователей, используя одноразовые запросы полезной нагрузки и проверяя их. Группа избегает инструментов обнаружения сетевых и файловых атак, используя законное облачное хранилище и хорошо документированные функции программного обеспечения, в частности, в Microsoft Office.

В FACCT не раскрывают информации о том, какие компании стали жертвами хакеров.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме