Группировка Cloud Atlas обновила средство доставки бэкдора, с помощью которого она шпионит за высокопоставленными целями в Восточной Европе и Центральной Азии. Благодаря использованию полиморфного вредоносного ПО преступникам удается обходить системы безопасности.
Кто такие Cloud Atlas:
Впервые вредоносные кампании группировки Cloud Atlas, также известной как Inception, зафиксировали эксперты «Лаборатории Касперского» в 2014 году. Ее атаки направлены на государственные, финансовые, религиозные организации, предприятия авиакосмической отрасли.
Аналитики связывают этих преступников с другой известной группировкой — Red October. Об их родстве говорит совпадение некоторых целей и технические особенности кибератак.
На всем протяжении своей деятельности Cloud Atlas использует одну схему. Первоначальное заражение происходит через целевой фишинг, цель которого — убедить жертву открыть вредоносный документ Word. Этот файл в свою очередь доставляет на компьютер бэкдор. Его важная особенность заключается в том, что код полезной нагрузки не пишется напрямую на диск, а выполняется через специально созданный и зашифрованный скрипт Visual Basic.
В октябре 2018 года аналитики обнаружили в атаках группировки имплантат, который они назвали PowerShower. Этот PowerShell-скрипт выполняет роль валидатора и скачивает на зараженную машину несколько модулей полезной нагрузки. В числе таких компонентов:
Средство копирования иотправки на удаленный сервер файлов *.txt, *.pdf, *.xls, *.doc.
Шпионский модуль дляопределения активных процессов на компьютере, имени пользователя и домена Windows.
Похититель паролей набазе утилиты с открытым кодом LaZagn.
Характерные особенности кампаний Cloud Atlas в 2019 году:
Начиная с апреля 2019 года участники Cloud Atlas стали применять новый имплантат — написанное на Visual Basic HTML-приложение. Именно оно отвечает за активацию PowerShower и основного бэкдора.
Главная задача обновления — обмануть системы обнаружения вторжений по индикаторам компрометации. Преступники добиваются этой цели благодаря полиморфной природе используемых компонентов — код меняется от атаки к атаке, что приводит и к изменению хешей.
Приложение, которое размещено на удаленном сервере, последовательно доставляет в атакованную систему три файла:
Полиморфный бэкдор VBShower, который выполняет функции валидатора вместо PowerShower.
Лончер бэкдора.
Специально созданный файл с данными о компьютере, получаемыми от
Чтобы скрыть свое присутствие, последний удаляет все файлы в папках %APPDATA%\..\Local\Temporary Internet Files\Content.Word\ и %APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\. Сделав это и закрепившись на компьютере через системный реестр, он отправляет на удаленный сервер файл с данными о зараженном компьютере и ждет полезную нагрузку.
По словам экспертов Kaspersky, финальной целью злоумышленников остается доставка инсталлятора для PowerShower или все того же бэкдора, который Cloud Atlas использует с начала своей деятельности. Аналитики заключают, что, несмотря на простые методы, преступники все же достигают своих целей.
Ранее специалисты предупредили о новом продвинутом зловреде в арсенале группировки Hidden Cobra. Сетевой шлюз Electricfish создает канал для передачи данных между жертвой и злоумышленниками, позволяя выгружать данные из закрытых инфраструктур.
Источник: https://threatpost.ru/cloud-atlas-gears-up-with-new-vbshower-backdoor/33777/