12/12/22
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) отследили новую активность хакерской группировки Cloud Atlas: в третьем квартале 2022 года она атаковала российский государственный сектор. Группировка Cloud Atlas известна с 2014 года, ориентирована в большинстве случаев на кибершпионаж и нацелена на государственные организации и промышленный сектор в странах Восточной Европы и Азии. Группировка использует сложные тактики и техники, что затрудняет процесс анализа со стороны исследователей безопасности. В Positive Technologies поделились методикой расследования кибератак злоумышленников.
В экспертном центре безопасности Positive Technologies за Cloud Atlas следят с 2019 года. Однако до недавнего времени исследование их деятельности было затруднительно. В третьем квартале 2022 года группировка вновь была обнаружена при расследовании одного инцидента, что позволило PT ESC получить полную картину ее действий. По данным специалистов, новые атаки группировки нацелены на правительственный сектор России. Цель преступников — шпионаж и кража конфиденциальной информации.
Как говорится в исследовании, исходным вектором атаки традиционно являются фишинговые письма с вредоносным вложением. Злоумышленники используют в тексте приманки актуальные геополитические проблемы, которые непосредственно связаны с атакуемой ими страной. Обращают на себя внимание и адреса, с которых происходит рассылка. Так, в одной из рассылок 2022 года злоумышленники маскировались под сотрудников известного в России и СНГ новостного портала Lenta.ru: почту с таким доменом позволяет создать Rambler.
«Чаще всего текст берется из СМИ или из общедоступных официальных документов, — комментирует Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies. — К примеру, в 2019 году в атаке, нацеленной на Азербайджан, использовался текст, связанный с учениями „Нерушимое братство — 2019“ в Таджикистане, а в 2020-м при атаках на организации в Республике Беларусь использовался текст, связанный с выборами президента».
В ходе исследования специалистами PT ESC было выявлено несколько цепочек атак, которые отличались числом этапов загрузки основной функциональности, а также инструментами, используемыми на каждом из этапов. Эксперты особо подчеркнули сложность детектирования атак: группировка старается тщательно скрывать свое ВПО от исследователей, проверяя или используя одноразовые запросы на получение полезной нагрузки. Злоумышленники применяют техники ухода от сетевых и файловых средств обнаружения атак, используя легитимные облачные хранилища, а также документированные возможности ПО, в частности Microsoft Office.
«На начальном этапе анализа ВПО, при расшифровании и передаче управления на загрузчик основной функциональности, все обнаруженные подобные образцы имели достаточно большой размер, а также были обфусцированы, — отмечает Даниил Колосков, старший специалист отдела исследования угроз ИБ Positive Technologies. — При этом сам загрузчик хранился исключительно в памяти процесса и на диске никаким образом не присутствовал. Кроме того, код расшифрования оказался „разбавлен“ различными операциями, очевидно, для усложнения поиска и идентификации процедур декодирования данных. Почти все функции, расшифровывающие загрузчик, содержали большое количество полиморфного кода, используемого для затруднения анализа».
Эксперты прогнозируют, что поскольку группировка Cloud Atlas вновь попала в поле зрения исследователей, она будет продолжать усложнять техники и инструментарий атак, что может негативно сказаться на предприятиях атакуемых отраслей, прежде всего госучреждений РФ, стран Восточной Европы и Азии.
