Туман кибервойны: шпионы из Cloud Atlas атакуют российские компании под видом поддержки участников СВО

Компания F.A.C.C.T. зафиксировала новые атаки шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию. Обе рассылки были перехвачены системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR.

Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года. Чаще других целями Cloud Atlas становились промышленные предприятия и госкомпании в России, Беларуси, Азербайджане, Турции и Словении.

В качестве основного вектора атаки Cloud Atlas отдает предпочтение точечной почтовой рассылке с вредоносным вложением. В рамках новой кампании злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.

Туман кибервойны: шпионы из Cloud Atlas атакуют российские компании под видом поддержки участников СВО
Рис.1. Скриншот письма с вложением для профсоюзных лидеров с просьбой оказать поддержку участникам СВО и членам их семей

В первом письме злоумышленники от имени представителей “Московской городской организации Общероссийского профессионального союза работников государственных учреждений” предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные —  их можно найти в свободном доступе.

Туман кибервойны: шпионы из Cloud Atlas атакуют российские компании под видом поддержки участников СВО
Рис.2 Скриншот письма с изменениями в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе

В другой почтовой рассылке злоумышленники представляются “Ассоциацией Учебных Центров” и используют актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

При открытии пользователем документа от 20.11.2023 из вложения электронного письма происходит загрузка по ссылке удаленного шаблона. Загружаемый по ссылке шаблон является RTF-файлом, содержащим эксплойт уязвимости CVE-2017-11882.

Киллчейн, индикаторы компрометации, технический анализ новых атак Cloud Atlas, а также тактики, техники процедуры MITRE ATT&CK вы найдете свежем блоге от экспертов F.A.C.C.T.

Учитывая успешный опыт блокировки атак группы Cloud Atlas, остается добавить, что система для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR обеспечивает защиту от широкого спектра киберрисков, среди которых программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищенного периметра.

Secute.ru - информационная безопасность