Группировка Cloud Atlas вооружилась полиморфным бэкдором

Группировка Cloud Atlas обновила средство доставки бэкдора, с помощью которого она шпионит за высокопоставленными целями в Восточной Европе и Центральной Азии. Благодаря использованию полиморфного вредоносного ПО преступникам удается обходить системы безопасности.

Кто такие Cloud Atlas

Впервые вредоносные кампании группировки Cloud Atlas, также известной как Inception, зафиксировали эксперты «Лаборатории Касперского» в 2014 году. Ее атаки направлены на государственные, финансовые, религиозные организации, предприятия авиакосмической отрасли.

Аналитики связывают этих преступников с другой известной группировкой — Red October. Об их родстве говорит совпадение некоторых целей и технические особенности кибератак.

На всем протяжении своей деятельности Cloud Atlas использует одну схему. Первоначальное заражение происходит через целевой фишинг, цель которого — убедить жертву открыть вредоносный документ Word. Этот файл в свою очередь доставляет на компьютер бэкдор. Его важная особенность заключается в том, что код полезной нагрузки не пишется напрямую на диск, а выполняется через специально созданный и зашифрованный скрипт Visual Basic.

В октябре 2018 года аналитики обнаружили в атаках группировки имплантат, который они назвали PowerShower. Этот PowerShell-скрипт выполняет роль валидатора и скачивает на зараженную машину несколько модулей полезной нагрузки. В числе таких компонентов:

  • Средство копирования иотправки на удаленный сервер файлов *.txt, *.pdf, *.xls, *.doc.
  • Шпионский модуль дляопределения активных процессов на компьютере, имени пользователя и домена Windows.
  • Похититель паролей набазе утилиты с открытым кодом LaZagn.

Характерные особенности кампаний Cloud Atlas в 2019 году

Начиная с апреля 2019 года участники Cloud Atlas стали применять новый имплантат — написанное на Visual Basic HTML-приложение. Именно оно отвечает за активацию PowerShower и основного бэкдора.

Главная задача обновления — обмануть системы обнаружения вторжений по индикаторам компрометации. Преступники добиваются этой цели благодаря полиморфной природе используемых компонентов — код меняется от атаки к атаке, что приводит и к изменению хешей.

Приложение, которое размещено на удаленном сервере, последовательно доставляет в атакованную систему три файла:

  • Полиморфный бэкдор VBShower, который выполняет функции валидатора вместо PowerShower.
  • Лончер бэкдора.
  • Специально созданный файл сданными о компьютере, получаемыми от

Чтобы скрыть свое присутствие, последний удаляет все файлы в папках %APPDATA%\..\Local\Temporary Internet Files\Content.Word\ и %APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\. Сделав это и закрепившись на компьютере через системный реестр, он отправляет на удаленный сервер файл с данными о зараженном компьютере и ждет полезную нагрузку.

По словам экспертов Kaspersky, финальной целью злоумышленников остается доставка инсталлятора для PowerShower или все того же бэкдора, который Cloud Atlas использует с начала своей деятельности. Аналитики заключают, что, несмотря на простые методы, преступники все же достигают своих целей.

Ранее специалисты предупредили о новом продвинутом зловреде в арсенале группировки Hidden Cobra. Сетевой шлюз Electricfish создает канал для передачи данных между жертвой и злоумышленниками, позволяя выгружать данные из закрытых инфраструктур.

Дата: 2019-08-13 17:44:58

Источник: https://threatpost.ru/cloud-atlas-gears-up-with-new-vbshower-backdoor/33777/