______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception), за деятельностью которой специалисты наблюдают с 2014 года, расширила свой арсенал и теперь использует новую полиморфную малварь.

В основном группировка Cloud Atlas занимается кибершпионскими операциями, и главным целями хакеров являются компании промышленной отрасли и правительственные организации. С начала 2019 года фишинговые кампании группы в основном были сосредоточенные на России, Центральной Азии и некоторых регионах Украины.

Аналитики рассказывают, что в целом с 2018 года группировка полагается на уже доказавшую свою эффективность тактику и проверенную малварь. Так, хакеры по-прежнему используют фишинговые письма для выявления крупных жертв. Такие письма комплектуются документами Office, в которых используются вредоносные удаленные шаблоны, размещенные на удаленных серверах. Эту тактику группировки уже описывали и эксперты «Лаборатории Касперского» и их коллеги из  Palo Alto Networks.

Ранее, сразу после эксплуатации уязвимостей CVE-2017-11882(в Microsoft Equation) и CVE-2018-0802, хакеры задействовали свою малварь PowerShower. Но в последние месяцы цепочка заражения изменилась. Теперь в нее также входит полиморфная HTA, новый полиморфный VBS-имплант, VBShower, предназначенный для выполненич PowerShower и модульного бэкдора второй стадии заражения, который был описан исследователями еще пять лет назад и тех пор не менялся.

Кроме того, перед применением загрузчиков второго этапа заражения VBShower также позаботится о том, чтобы все свидетельства присутствия малвари были удалены из системы. Так, он пытается удалить все файлы, содержащиеся в %APPDATA%\..\Local\Temporary Internet Files\Content.Word и %APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\.

HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации. В итоге новая, усложнившаяся цепочка заражения выглядит следующим образом:

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации, которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает, что этот подход уже не даёт стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 году, которая разрабатывала новые инструменты для каждой жертвы. Впоследствии всё больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Всё это говорит о том, что знания, навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее, чем у злоумышленников», – отметил Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского».

В блоге компании были опубликованы обновленные индикаторы компрометации, включая IP-адреса управляющих серверов, некоторые email-адреса преступников, ключи реестра и так далее.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх