Cloud Atlas wciąż działa i aktualizuje swoje narzędzia

Podobne tematy

TikTok uruchamia tryb kontroli rodzicielskiej. Czy to pomoże rodzicom w ochronie dzieci?

TikTok to obecnie jedna z najpopularniejszych aplikacji dostępnych w sklepach Google Play i Apple Store. Szczególnie lubią ją młodzi...

Uber ukarany grzywną 492 tys. USD

Dwa lata temu w wyniku naruszenia infrastruktury IT Ubera wyciekły dane osobowe 2,7 mln klientów z Wielkiej Brytanii. Brytyjski...

Pornografia naszpikowana wirusami?

W 2017 roku 25,4 proc. użytkowników urządzeń mobilnych atakowanych przez szkodliwe oprogramowanie – ponad 1,2 miliona osób – było...

Cloud Atlas, cyberprzestępcze ugrupowanie APT znane również pod nazwą Inception, wzbogaciło swój arsenał o nowe narzędzia, które pozwalają uniknąć wykrycia za pomocą standardowych wskaźników infekcji. Uaktualniony łańcuch infekcji został zidentyfikowany przez badaczy z firmy Kaspersky w różnych organizacjach w Europe Wschodniej, Azji Środkowej oraz Rosji.

Cloud Atlas to ugrupowanie, które posiada długą historię operacji cyberszpiegowskich, których celem są różne branże, agencje rządowe oraz inne podmioty. Po raz pierwszy zostało zidentyfikowane w 2014 r. i od tego czasu pozostaje aktywne. Niedawno badacze z firmy Kaspersky wykryli ataki tego ugrupowania skierowane przeciwko branży międzynarodowych stosunków gospodarczych oraz przestrzeni kosmicznej, jak również organizacji rządowych i religijnych znajdujących się między innymi w Portugalii, Rumunii, Turcji, na Ukrainie, w Rosji, w Turkmenistanie, Afganistanie oraz Kirgistanie. Po skutecznej infiltracji Cloud Atlas:

·       zbierał informacje dotyczące systemu, do którego uzyskał dostęp,

·       gromadził hasła,

·       przesyłał niedawno utworzone pliki .txt .pdf .xls .doc do serwera kontrolowanego przez cyberprzestępców.

Chociaż ugrupowanie nie zmieniło znacząco swoich taktyk od 2018 r., z badania niedawnej fali ataków wynika, że zaczęło stosować nowy sposób infekowania swoich ofiar oraz dalsze rozprzestrzenianie infekcji w ich sieciach.

Wcześniej Cloud Atlas wysyłał potencjalnej ofierze spersonalizowaną wiadomość phishingową zawierającą szkodliwy załącznik. Jeśli atak powiódł się, następowało wykonywanie załączonego szkodliwego oprogramowania PowerShower, które służyło do przeprowadzania wstępnego rekonesansu oraz pobierania dodatkowych szkodliwych modułów, a następnie cyberprzestępcy przechodzili do dalszego etapu operacji.

W uaktualnionym łańcuchu infekcji wykonanie szkodnika PowerShower zostaje przesunięte w czasie do późniejszego etapu. Zamiast tego, zaraz po początkowej infekcji na atakowaną maszynę zostaje pobrana i wykonana szkodliwa aplikacja HTML. Następnie aplikacja ta zbiera wstępne informacje dotyczące zaatakowanego komputera, jak również pobiera i wykonuje VBShower – kolejny szkodliwy moduł. VBShower usuwa ślady obecności szkodnika w systemie i za pomocą serwerów kontroli kontaktuje się z osobami, które stoją za operacją, w celu podjęcia decyzji odnośnie dalszych działań. W zależności od otrzymanego polecenia szkodnik pobiera, a następnie wykonuje oprogramowanie PowerShower lub inne szkodliwe oprogramowanie znajdujące się w arsenale grupy Cloud Atlas.

Nowy łańcuch infekcji jest znacznie bardziej skomplikowany niż poprzedni model, jednak główna różnica polega na tym, że szkodliwa aplikacja HTML oraz moduł VBShower są polimorficzne. To oznacza, że kod w obu modułach będzie nowy i unikatowy w każdym przypadku infekcji. Według ekspertów z firmy Kaspersky uaktualniona wersja ma na celu ukrycie szkodliwego oprogramowania przed rozwiązaniami zabezpieczającymi wykorzystującymi do ochrony jedynie znane wskaźniki infekcji.

- Reklama -

Gorące tematy

- Reklama -
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.