Десять лет в облаках: АРТ-группировка Cloud Atlas атакует госсектор России и Белоруссии, используя обновленный инструментарий

В отдел реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. Расследование показало, что этот инцидент является частью новой кампании против госучреждений России и Белоруссии, за которой специалисты департамента исследования угроз PT ESC наблюдают с октября 2024 года. За кибератаками стоит APT-группировка с десятилетним стажем Cloud Atlas.

Атака, к расследованию которой привлекли команду PT ESC IR, была обнаружена на раннем этапе, когда злоумышленники проводили разведку. Благодаря своевременному реагированию сотрудников организации и специалистов PT ESC им не удалось закрепиться в ИТ-инфраструктуре и нанести значительный ущерб. Группировка Cloud Atlas действует с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна нацелена в основном на госорганы России и Белоруссии.

Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на темы геополитики, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты. В потоки таблиц¹ этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее в целях шпионажа и кражи данных.

«За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Например, в новой кампании модули ВПО хранились на Яндекс Диске. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2 использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами. В целом мы видим, что Cloud ...

Александр ГригорянЗаместитель руководителя департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies

Для предотвращения подобных атак эксперты рекомендуют пользователям соблюдать актуальные общепринятые правила ИБ: детально изучать письма перед тем, как открывать вложения, проверять адреса отправителей и сохранять спокойствие, какими бы ни были темы сообщений. Не менее важно своевременно обращаться к специалистам по расследованию и реагированию на инциденты для минимизации ущерба компании.

Организациям специалисты предлагают выстраивать многоуровневую защиту инфраструктуры, используя передовые продукты кибербезопасности. В этом помогут, например, сетевая песочница для защиты от сложного вредоносного ПО и угроз нулевого дня PT Sandbox, система поведенческого анализа сетевого трафика PT Network Attack Discovery, межсетевой экран нового поколения для глубокой фильтрации трафика PT NGFW, продукт для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR, система мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM, система управления уязвимостями нового поколения MaxPatrol VM, сервис для проверки защищенности корпоративной почты PT Knockin.