Кибершпионы Cloud Atlas вновь атакуют российский госсектор
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Кибершпионы Cloud Atlas вновь атакуют российский госсектор

Татьяна Никитина 09 Декабря 2022 - 16:02
...
Кибершпионы Cloud Atlas вновь атакуют российский госсектор

В III квартале Positive Technologies зафиксировала новые атаки Cloud Atlas на территории России. Разбор одной из них показал, что техники и инструменты преступной группы практически не изменились.

Русскоязычная группировка Cloud Atlas, появившаяся на интернет-арене в 2014 году, специализируется на шпионаже и краже конфиденциальных данных. В Positive Technologies ее деятельность отслеживают с 2019 года; по данным ИБ-компании, хакеров в основном интересуют госструктуры России, Белоруссии, Азербайджана, Турции и Словении.

Целевые атаки Cloud Atlas обычно начинаются с поддельного письма с вредоносным вложением. В качестве приманки используются актуальные политические события, представляющие интерес для получателя сообщения.

Адреса отправителя сфальсифицированы, но выглядят убедительно. Так, одна из недавних вредоносных рассылок проводилась от имени «Лента.Ру», при этом письма отправлялись с аккаунта @lenta.ru, который позволяет создать Rambler.

 

Прикрепленный файл Word содержит маскировочный текст, скопированный из легитимного источника, в который вставлена ссылка на вредоносный шаблон на удаленном сервере. Этот файл может содержать макрос или эксплойт (например, CVE-2017-11882).

В ходе исследования специалисты выявили несколько схем многоэтапного заражения, использующих разные инструменты:

 

Своих вредоносов Cloud Atlas тщательно скрывает: использует обфускацию, документированные возможности Microsoft Office, легитимные облачные хранилища (OpenDrive), одноразовые запросы на получение полезной нагрузки.

«Все обнаруженные образцы имели достаточно большой размер, а также были обфусцированы, — комментирует Даниил Колосков, старший специалист отдела PT, занимающегося исследованием ИБ-угроз. — Почти все функции, расшифровывающие загрузчик, содержали большое количество полиморфного кода, используемого для затруднения анализа. Сам загрузчик хранился исключительно в памяти процесса и на диске никаким образом не присутствовал».

Все регистрируемые хакерами C2-серверы используются лишь для удаленной загрузки шаблонов. Исследователям удалось выявить семь таких адресов:

  • checklicensekey.com;
  • comparelicense.com;
  • driver-updated.com;
  • sync-firewall.com;
  • system-logs.com;
  • translate-news.net;
  • technology-requests.net (замаскирован под сайт Hoosier Heights — владельца скалодромов в штате Индиана).
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Суд Иркутска рассмотрит дело о взломе 101 аккаунта Telegram для продажи
Татьяна Никитина 19 Ноября 2025 - 12:47
МошенничествоОнлайн-мошенничествоСоответствие законодательству РФ Домашние пользователиГосударство
Суд Иркутска рассмотрит дело о взломе 101 аккаунта Telegram для продажи

В Иркутске будут судить 22-летнего местного жителя, обвиняемого в систематической краже учетных данных Telegram у россиян с целью продажи. Подозреваемый задержан, с него пока взята подписка о невыезде.

Следствие установило, что в период с февраля 2023 года по октябрь 2024-го молодой человек через фишинг получил доступ к 101 телеграм-аккаунту жителей Алтайского края.

Для сбора учеток был создан сайт, имитирующий музыкальный сервис крупнейшей соцсети рунета. Ссылка на фейк с обещанием бесплатной годовой подписки публиковалась в профильном интернет-сообществе.

Претендентам предлагали авторизоваться через Telegram. Введенные в фишинговую форму данные выставлялись на продажу по цене от 250 до 400 рублей и впоследствии использовались для реализации мошеннических схем.

Одна из потерпевших, 32-летняя жительница Барнаула, невольно подставила свою подругу. Откликнувшись на просьбу одолжить денег, разосланную мошенниками от имени жертвы взлома, та перевела им 8 тыс. рублей.

Уголовное дело было возбуждено по признакам преступления, предусмотренного ч. 2 ст. 272 УК РФ (неправомерный доступ к компьютерной информации из корыстной заинтересованности, до четырех лет лишения свободы). При обыске у задержанного был изъят ноутбук с уликами; отрицать свою вину он не стал.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
DDoS-атаки в 2025 году удвоились, растут хирургические сценарии
Новость
DDoS-атаки в 2025 году удвоились, растут хирургические сцена...
С 1 сентября под блокировку попадают не только спам, но и звонки компаний
Новость
С 1 сентября под блокировку попадают не только спам, но и зв...
В МФТИ создали ML-алгоритм для выявления криптокошельков мошенников
Новость
В МФТИ создали ML-алгоритм для выявления криптокошельков мош...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.