Кибершпионы Cloud Atlas вновь атакуют российский госсектор
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Кибершпионы Cloud Atlas вновь атакуют российский госсектор

Татьяна Никитина 09 Декабря 2022 - 16:02
...
Кибершпионы Cloud Atlas вновь атакуют российский госсектор

В III квартале Positive Technologies зафиксировала новые атаки Cloud Atlas на территории России. Разбор одной из них показал, что техники и инструменты преступной группы практически не изменились.

Русскоязычная группировка Cloud Atlas, появившаяся на интернет-арене в 2014 году, специализируется на шпионаже и краже конфиденциальных данных. В Positive Technologies ее деятельность отслеживают с 2019 года; по данным ИБ-компании, хакеров в основном интересуют госструктуры России, Белоруссии, Азербайджана, Турции и Словении.

Целевые атаки Cloud Atlas обычно начинаются с поддельного письма с вредоносным вложением. В качестве приманки используются актуальные политические события, представляющие интерес для получателя сообщения.

Адреса отправителя сфальсифицированы, но выглядят убедительно. Так, одна из недавних вредоносных рассылок проводилась от имени «Лента.Ру», при этом письма отправлялись с аккаунта @lenta.ru, который позволяет создать Rambler.

 

Прикрепленный файл Word содержит маскировочный текст, скопированный из легитимного источника, в который вставлена ссылка на вредоносный шаблон на удаленном сервере. Этот файл может содержать макрос или эксплойт (например, CVE-2017-11882).

В ходе исследования специалисты выявили несколько схем многоэтапного заражения, использующих разные инструменты:

 

Своих вредоносов Cloud Atlas тщательно скрывает: использует обфускацию, документированные возможности Microsoft Office, легитимные облачные хранилища (OpenDrive), одноразовые запросы на получение полезной нагрузки.

«Все обнаруженные образцы имели достаточно большой размер, а также были обфусцированы, — комментирует Даниил Колосков, старший специалист отдела PT, занимающегося исследованием ИБ-угроз. — Почти все функции, расшифровывающие загрузчик, содержали большое количество полиморфного кода, используемого для затруднения анализа. Сам загрузчик хранился исключительно в памяти процесса и на диске никаким образом не присутствовал».

Все регистрируемые хакерами C2-серверы используются лишь для удаленной загрузки шаблонов. Исследователям удалось выявить семь таких адресов:

  • checklicensekey.com;
  • comparelicense.com;
  • driver-updated.com;
  • sync-firewall.com;
  • system-logs.com;
  • translate-news.net;
  • technology-requests.net (замаскирован под сайт Hoosier Heights — владельца скалодромов в штате Индиана).
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Телефонные мошенники начали предлагать россиянам новогодние туры
Татьяна Никитина 07 Ноября 2025 - 15:34
Мошенничество Домашние пользователи
Телефонные мошенники начали предлагать россиянам новогодние туры

Грядущие новогодние праздники в России продлятся 12 дней, и мошенники уже начали собирать дань с любителей путешествий, предлагая внести предоплату за бронирование тура, который якобы пока можно купить с большой скидкой.

По данным МТС, злоумышленники с этой целью проводят обзвоны от имени менеджеров турфирм и, выманив деньги за некий горящий тур, перестают выходить на связь.

«Как только первый платеж проведен, мошенники, пользуясь доверием собеседника, просят повторить операцию, ссылаясь на то, что она не прошла, — рассказывает журналистам директор продукта «Защитник» МТС Андрей Бийчук. — Жертве высылают подтверждение о возврате средств и убеждают совершить повторный перевод. После этого связь с «агентством» полностью прекращается: телефоны не отвечают, а сайт, если он был, перестает работать».

Использующие ИКТ мошенники традиционно активизируются в преддверии длительных праздников и сезона каникул / отпусков.

Собеседник «Известий» напомнил, что бронировать и оплачивать туры следует лишь на официальных ресурсах аккредитованных операторов и агентств. Подлог могут выдать обещания баснословных скидок, а также предложение воспользоваться левой платежной системой либо перевести деньги на карту физлица.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России зафиксирован четырёхкратный рост атак с подменой DLL
Новость
В России зафиксирован четырёхкратный рост атак с подменой DL...
Вымогатели OldGremlin вернулись в Россию с новыми инструментами атаки
Новость
Вымогатели OldGremlin вернулись в Россию с новыми инструмент...
Pixnapping: скрытая атака на Android, которая читает пиксели экрана
Новость
Pixnapping: скрытая атака на Android, которая читает пиксели...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.