МОСКВА, 13 авг — ПРАЙМ. "Лаборатория Касперского" зафиксировала новую волну сложных целевых атак кибергруппировки Cloud Atlas на организации в России и других странах Евразии, говорится в сообщении компании.
"Целями злоумышленников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового, усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрывать следы своего присутствия", — говорится в сообщении.
Как отмечают эксперты, для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением, которое Cloud Atlas изменила в своих последних атаках. Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере.
Теперь на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о зараженном компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой авторский бэкдор – Cloud Atlas.
"Помимо того, что эта схема заражения в целом более сложная, HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации", — отмечает "Лаборатория Касперского".
"Чтобы эффективно противостоять таким сложным угрозам, "Лаборатория Касперского" рекомендует организациям использовать специализированные решения для предотвращения целевых атак, которые опираются на такой инструмент, как индикаторы атаки. Эти индикаторы отслеживают тактики, техники и действия, которые предпринимают злоумышленники, вместо того чтобы концентрироваться на выявлении конкретных вредоносных инструментов", — говорится в сообщении.
