Спецпроекты

«Лаборатория Касперского»: кибергруппировка Cloud Atlas скрытно атакует новые цели в России

Безопасность Администратору Стратегия безопасности

«Лаборатория Касперского» зафиксировала новую волну сложных целевых атак, за которыми стоит известная кибергруппировка Cloud Atlas. Целями злоумышленников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового, усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрывать следы своего присутствия.

Группировка Cloud Atlas была впервые замечена экспертами по информационной безопасности в 2014 г., с тех пор она не прекращала свою деятельность. Как правило, атакующих интересуют учетные данные зараженного компьютера, а также документы в популярных форматах .txt, .pdf, .xls, .doc. Для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением. Именно его Cloud Atlas и изменили в своих последних атаках.

Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере. Теперь же на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о зараженном компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой авторский бэкдор – Cloud Atlas.

Помимо того, что эта схема заражения в целом более сложная, HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации.

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации, которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает, что этот подход уже не дает стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 г., которая разрабатывала новые инструменты для каждой жертвы. Впоследствии все больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Все это говорит о том, что знания, навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее, чем у злоумышленников», – отметил Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского».

Чтобы противостоять таким сложным угрозам, «Лаборатория Касперского» рекомендует организациям использовать специализированные решения для предотвращения целевых атак, которые опираются на такой инструмент, как индикаторы атаки. Эти индикаторы отслеживают тактики, техники и действия, которые предпринимают злоумышленники, вместо того чтобы концентрироваться на выявлении конкретных вредоносных инструментов. К примеру, индикаторы атаки присутствуют в новейших версиях решений Kaspersky Endpoint Detection and Response и Kaspersky Anti Targeted Attack.



Тема месяца

Обзор: Облачные сервисы 2019

Рейтинги CNews

Крупнейшие поставщики услуг IaaS и SaaS

Технология месяца

Можно ли защититься от 90% кибератак одним решением