Cloud Atlas a lansat noi atacuri asupra unor organizații din Europa de Est, Asia Centrală și Rusia
-
13 August 2019 14:44
Cloud Atlas, un grup APT cunoscut și ca Inception, a lansat, recent, noi atacuri cibernetice asupra mai multor organizații din Europa de Est (inclusiv România), Asia Centrală și Rusia, atrag atenția experții Kaspersky.
Conform specialiștilor, Cloud Atlas este un atacator cu un lung istoric de spionaj cibernetic ce vizează diferite industrii, agenții guvernamentale și alte entități, fiind identificat prima dată în 2014.
Recent, cercetătorii Kaspersky au constatat că grupul vizează organizații economice internaționale și aerospațiale, precum și organizații guvernamentale și religioase din țări ca Portugalia, România, Turcia, Ucraina, Rusia, Turkmenistan, Afghanistan și Kârgâzstan. Astfel, după o încercare reușită de a se infiltra, Cloud Atlas reușește să colecteze informații despre sistemul la care a obținut acces, să înregistreze parole, să extragă fișiere recente txt .pdf. xls .doc și să le trimită către un server de comandă și control.
Anterior, Cloud Atlas trimitea inițial un e-mail de spear-phishing cu o anexă infectată, către o țintă. În caz de reușită, PowerShower - malware-ul din attach, folosit pentru recunoașterea inițială și pentru a descărca module suplimentare - era lansat pentru a le permite atacatorilor cibernetici să-și continue operațiunea.
"Noua metodă amână lansarea PowerShower pentru o etapă ulterioară. În schimb, după infectarea inițială, o aplicație HTML este descărcată și lansată pe un dispozitiv țintă. Această aplicație va colecta apoi informațiile inițiale despre computerul atacat, va descărca și lansa VBShower - un alt modul malware. VBShower șterge dovada prezenței malware-ului în sistem și se consultă cu autorii prin intermediul serverului de comandă și control pentru a decide pașii următori. În funcție de comanda primită, malware-ul va descărca și lansa fie PowerShower, fie un alt backdoor cunoscut din repertoriul Cloud Atlas", explică specialiștii.
Potrivit experților Kaspersky, versiunea actualizată este folosită pentru a face malware-ul invizibil pentru soluțiile de securitate care se bazează pe indicatorii de compromitere cunoscuți.
Kaspersky le recomandă organizațiilor să utilizeze soluții anti-atacuri direcționate, îmbunătățite cu Indicatori de Atac (IoA) care se concentrează pe tactica, tehnicile sau acțiunile autorilor atunci când se pregătesc pentru un atac. Cele mai recente versiuni ale Kaspersky Endpoint Detection and Response și Kaspersky Anti Targeted Attack includ o nouă bază de date cu IoAs, actualizați de către specialiștii Kaspersky.
Kaspersky este o companie globală de securitate cibernetică, fondată în 1997. Portofoliul companiei include protecție endpoint și mai multe soluții specializate de securitate și servicii, pentru a combate amenințările digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky, precum și 270.000 de companii client.