Cloud Atlas անունով հանդես եկող հաքերական խումբը կապված է ռուսական ընկերությունների դեմ իրականացվող spear-phishing հարձակումների հետ:
Թիրախները ներառում են ռուսական ագրոարդյունաբերական ձեռնարկության և պետական հետազոտական ընկերությունների մասշտաբները, նշվում է է F.A.C.C.T. կիբերանվտանգության ոլորտի ընկերության կողմից տարածած զեկույցում:
2022 թվականի դեկտեմբերին Check Point-ը և Positive Technologies-ը մանրամասնեցին հարձակման բազմափուլ հաջորդականությունը, ինչն էլ հանգեցրեց PowerShell-ի վրա հիմնված DLL payload-ի տարածմանը:
Հարձակման շղթան մեկնարկում է ֆիշինգային հաղորդագրությունը, որը հետաքրքրող փաստաթուղթ է բովանդակում, ինչ էլ հաջողությամբ չարաշահում է CVE-2017-11882 խոցելիությունը: Այն հանդիսանում է Microsoft Office-ի Equation Editor-ի վեց տարվա վաղեմություն ունեցող memory corruption-ի խոցելիությունը:
Կասկածելի ծագմամբ HTML հավելվածը հետագայում գործարկում է Visual Basic Script (VBS) պարունակող տարբեր ֆայլեր, որոնք, ի վերջո, պատասխանատու են remote սերվերից VBS ծածկագրի առբերման և կատարման համար:
«Խմբի գործիքակազմն ու մարտավարությունն այսքան տարիների ընթացքում չի փոփոխվել: Նրանք փորձագետներից և անվտանգության աշխատակիցներից փորձում են թաքցնել իրենց չարամիտ ծրագիրը՝ օգտագործելով one-time payload request-ներ»։
Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ ընկերությունը հայտնեց Ռուսաստանում տեղակայված ավելի քան 20 կազմակերպությունների դեմ իրականացված արշավնեի մասին: Նախնական էտապում այն վեագրվես հաքերական խմբի առաջատար՝ Hellhoundsճին:
«Malware-ների և վնասական ֆայլերի հեղինակները մեծ ջանքեր են գործադրել՝ խոչընդոտելու դրանց հայտնաբերումն ու վերլուծությունը՝ ինչպես ընդհանուր տրաֆիկում, այնպես էլ ֆայլային համակարգում», – նշում են անվտանգության գծով փորձագետներ՝ Ստանիսլավ Պիժովը և Ալեքսանդր Գրիգորյանը:
Աղբյուրը՝ https://thehackernews.com/
