Шпионы Cloud Atlas предлагают россиянам поддержать участников СВО

Шпионы Cloud Atlas предлагают россиянам поддержать участников СВО

Шпионы Cloud Atlas предлагают россиянам поддержать участников СВО

Эксперты F.A.C.C.T. зафиксировали новые атаки APT-группы Cloud Atlas на территории России. На сей раз мишенями были избраны агропромышленное предприятие и исследовательская госкомпания.

Русскоязычная группировка Cloud Atlas, действующая в интернете с 2014 года, специализируется на шпионаже и краже конфиденциальных данных. Ее в основном интересуют промпредприятия и госкомпании России, Белоруссии, Азербайджана, Турции и Словении.

Целевые атаки злоумышленников обычно начинаются с рассылки поддельных писем с вредоносным вложением. Новые фейки, по свидетельству F.A.C.C.T., распространялись с аккаунтов @yandex.ru и @mail.ru; в качестве приманки использовались две актуальные темы: поддержка участников СВО и воинский учет.

В одном случае сообщение было написано от имени Московской городской организации Общероссийского профессионального союза работников государственных учреждений (РОО МГО ПРГУ РФ). Получателю напоминали о дедлайне на сбор поздравлений к Новому году для передачи в зону СВО.

 

Аналитики отметили, что вставленные в тело письма контакты действительно принадлежат МГО (приведены на ее сайте). От себя добавим: авторы послания неверно указали аббревиатуру.

Прикрепленный файл содержал копию письма горкома МГО, разосланного в ноябре в профсоюзы с целью организации сбора писем и поздравительных открыток для участников СВО. В маскировочный документ была вставлена ссылка, по которой при его открытии на машину жертвы загружается шаблон — RTF-файл с эксплойтом CVE-2017-11882.

Другая рассылка использовала имя Ассоциации Учебных Центров и тему изменения порядка воинского учета и рассылки повесток военнообязанным. Вложение тоже содержало текст, скопированный из легитимного источника и дополненный вредоносной ссылкой.

 

Киллчейн в обоих случаях схож с тем, что привела в своем отчете Positive Technologies, но вдобавок использует альтернативные потоки данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордный ботнет в атаке на госресурс: задействовано 4,6 млн устройств

16 мая была зафиксирована масштабная DDoS-атака на сайт, относящийся к сегменту государственных ресурсов, в частности — к общественным организациям. Это, по всей видимости, самая крупная атака подобного рода за всё время наблюдений.

По оценке специалистов компании Curator, ботнет, задействованный в атаке, насчитывал 4,6 миллиона устройств.

Это в несколько раз больше, чем в предыдущие годы: для сравнения, в 2023 году крупнейший ботнет включал 136 тысяч устройств, а в 2024-м — 227 тысяч.

Как развивалась атака

Атака шла поэтапно:

  • сначала было задействовано около 2 миллионов устройств;
  • затем подключили ещё примерно 1,5 миллиона;
  • на финальном этапе — все 4,6 миллиона, вероятно, весь доступный ботнет.

Большинство «зомби-устройств» находились в Южной и Северной Америке:

  • 30% (около 1,37 млн) — из Бразилии;
  • 555 тысяч — из США;
  • 362 тысячи — из Вьетнама;
  • 135 тысяч — из Индии;
  • 127 тысяч — из Аргентины.

Что это может значить

Этот же ботнет уже проявлялся ранее в этом году, но тогда его масштаб был значительно скромнее — около 1,33 млн IP-адресов. Сейчас — втрое больше. Такой рост может указывать на активное расширение ботнета и высокую степень автоматизации его распространения.

По словам экспертов, атака такого уровня способна генерировать десятки миллионов запросов в секунду, что не только быстро выводит из строя целевые серверы, но и может создать серьёзную нагрузку даже на инфраструктуру DDoS-защитных сервисов, потенциально угрожая стабильности сразу нескольких ресурсов, если они обслуживаются одним провайдером.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru