El actor de amenazas conocido como Atlas de nubes se ha relacionado con una serie de ataques de phishing dirigidos a empresas rusas.
Los objetivos incluían una empresa agroindustrial rusa y una empresa de investigación de propiedad estatal, según un informe de FACCT, una empresa independiente de ciberseguridad formada después de la salida formal de Group-IB de Rusia a principios de este año.
Cloud Atlas, activo desde al menos 2014, es un grupo de ciberespionaje de origen desconocido. También llamado Clean Ursa, Inception, Oxygen y Red October, el actor de amenazas es conocido por sus persistentes campañas dirigidas a Rusia, Bielorrusia, Azerbaiyán, Turquía y Eslovenia.
En diciembre de 2022, Check Point y Positive Technologies detallaron secuencias de ataques de varias etapas que llevaron a la implementación de una puerta trasera basada en PowerShell denominada PowerShower, así como cargas útiles DLL capaces de comunicarse con un servidor controlado por un actor.
De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total
Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.
El punto de partida es un mensaje de phishing que contiene un documento señuelo que explota CVE-2017-11882, una falla de corrupción de memoria de hace seis años en el Editor de ecuaciones de Microsoft Office, para iniciar la ejecución de cargas útiles maliciosas, una técnica que ha empleado Cloud Atlas. tan pronto como octubre 2018.
«Las campañas masivas de phishing del actor continúan utilizando sus métodos simples pero efectivos para comprometer sus objetivos», Kaspersky anotado en agosto de 2019. «A diferencia de muchos otros conjuntos de intrusiones, Cloud Atlas no ha optado por utilizar implantes de código abierto durante sus campañas recientes, para ser menos discriminatorio».
FACCT describió la última cadena de eliminación como similar a la descrita por Positive Technologies, con una explotación exitosa de CVE-2017-11882 mediante inyección de plantilla RTF que allana el camino para el código shell que es responsable de descargar y ejecutar un archivo HTA ofuscado. Los correos provienen de los populares servicios de correo electrónico rusos Yandex Mail y VK’s Mail.ru.
Posteriormente, la aplicación HTML maliciosa inicia archivos Visual Basic Script (VBS) que son, en última instancia, responsables de recuperar y ejecutar un código VBS desconocido desde un servidor remoto.
«El grupo Cloud Atlas ha estado activo durante muchos años, pensando cuidadosamente en cada aspecto de sus ataques», Positive Technologies dicho del grupo el año pasado.
«El conjunto de herramientas del grupo no ha cambiado durante años: intentan ocultar su malware a los investigadores mediante solicitudes de carga únicas y validándolas. El grupo evita las herramientas de detección de ataques a redes y archivos mediante el uso de almacenamiento legítimo en la nube y funciones de software bien documentadas. en particular en Microsoft Office.»
El desarrollo se produce cuando la compañía dijo que al menos 20 organizaciones ubicadas en Rusia se han visto comprometidas utilizando Decoy Dog, una versión modificada de Pupy RAT, atribuyéndolo a un actor de amenaza persistente avanzado al que llama Hellhounds.
El malware mantenido activamente, además de permitir al adversario controlar remotamente el host infectado, viene con un scriptlet diseñado para transmitir datos de telemetría a una cuenta «automatizada» en Mastodon con el nombre «Lamir Hasabat» (@lahat) en la instancia Mindly.Social.
«Después de que se publicaron los materiales sobre la primera versión de Decoy Dog, los autores del malware hicieron grandes esfuerzos para dificultar su detección y análisis tanto en el tráfico como en el sistema de archivos», afirman los investigadores de seguridad Stanislav Pyzhov y Aleksandr Grigorian. dicho.