195176, г. Санкт-Петербург,
Пискаревский пр. д.25,
литер А пом. 8Н.
info@armkllc.ru
   +7 (812) 748-51-31

Старые риски по-новому

Дата публикации: 2019-08-15 14:45:00

Кибергруппировка Cloud Atlas использует новый метод для атак целей

в России и других странах Евразии

Новые посягательства обнаруженной около пяти лет назад группы киберпреступников Cloud Atlas на конфиденциальные данные пользователей и компаний дали понять экспертам по информационной безопасности, что обнародование найденных угроз и занесение их в базы антивирусных программ уже не даёт больших гарантий. Всё дело в модернизированных алгоритмах, используемых злоумышленниками.

На заражённые устройства теперь устанавливается HTML-приложение, которое собирает информацию о системах, аппаратном оснащении, истории операций. Далее загружается модуль, подчищающий следы проникновения. Он же отправляет отчёт разработчикам шпиона о найденных материалах. На основе этих данных принимаются команды-корректировки и дальнейшие инструкции вплоть до скачивания и запуска других модулей и программ в поддавшейся нападению системе.

Трудность обнаружения такого рода взлома кроется отнюдь не в подчищенных «хвостах» HTML-приложения и модуля-помощника. Всё дело в их кодах: в каждом новом случае проникновения они будут уникальны. Такой софт называется полиморфным. Эта схема заражения сложнее обычных, что как раз и затрудняет обнаружение атаки с помощью известных способов и индикаторов. Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского», отмечает: «Первым тревожным звонком стали операции группировки «Project Sauron» в 2016 году, которая разрабатывала новые инструменты для каждой жертвы. Впоследствии всё больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов».

В этом году целями Cloud Atlas стали российские правительственные и религиозные организации. Такие же «визиты» зафиксированы в государствах Восточной Европы и Центральной Азии. Кроме госучреждений атакам подвергались международные экономические и аэрокосмические компании. Как правило, атакующих интересуют учётные данные и документация в популярных форматах расширений. Заражение происходит при открытии фишинговых писем с вредоносным вложением, которое как раз и оказалось «новинкой». Причём рассылка происходит адресно (то есть целенаправленно конкретному адресату).

Эффективно противостоять столь хитрым угрозам сложно, но можно. «Лаборатория Касперского» рекомендует организациям использовать специализированные решения, базирующиеся на так называемых индикаторах атаки. Они отслеживают тактики, техники и действия злоумышленников. Эти комплексные средства созданы для предотвращения именно целевых атак.


По материалам kaspersky.ru