«Лаборатория Касперского» зафиксировала новую волну сложных целевых атак, за которыми стоит известная кибергруппировка Cloud Atlas. Целями злоумышленников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового, усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрывать следы своего присутствия.

Группировка Cloud Atlas была впервые замечена экспертами по информационной безопасности в 2014 году, с тех пор она не прекращала свою деятельность. Как правило, атакующих интересуют учётные данные заражённого компьютера, а также документы в популярных форматах .txt, .pdf, .xls, .doc. Для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением. Именно его Cloud Atlas и изменили в своих последних атаках.

Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере. Теперь же на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о заражённом компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой авторский бэкдор —Cloud Atlas.

Помимо того, что эта схема заражения в целом более сложная, HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации.

«Эксперты по кибербезопасности в ходе исследования вредоносных операций выявляют и публикуют или вносят в базы характерные индикаторы компрометации, которые позволяют другим атакованным быстро обнаружить заражение и принять меры. Однако практика показывает, что этот подход уже не даёт стопроцентных гарантий. Первым тревожным звонком стали операции группировки ProjectSauron в 2016 году, которая разрабатывала новые инструменты для каждой жертвы. Впоследствии всё больше атакующих стали выбирать вполне легальные инструменты из открытых источников. А теперь мы видим новый тренд с использованием полиморфных зловредов. Всё это говорит о том, что знания, навыки и инструменты борцов с киберпреступностью должны развиваться так же быстро и даже быстрее, чем у злоумышленников», — отметил Феликс Айме (Felix Aime), антивирусный эксперт «Лаборатории Касперского».

Чтобы эффективно противостоять таким сложным угрозам, «Лаборатория Касперского» рекомендует организациям использовать специализированные решения для предотвращения целевых атак, которые опираются на такой инструмент, как индикаторы атаки. Эти индикаторы отслеживают тактики, техники и действия, которые предпринимают злоумышленники, вместо того чтобы концентрироваться на выявлении конкретных вредоносных инструментов. К примеру, индикаторы атаки присутствуют в новейших версиях решений Kaspersky Endpoint Detection and Response и Kaspersky Anti Targeted Attack.