Cloud Atlas-ի Spear-phishing հարձակումներն ուղղված ռուսական ընկերություններին

Cloud Atlas-ի Spear-phishing հարձակումներն ուղղված ռուսական ընկերություններին

Cloud Atlas անունով հանդես եկող հաքերական խումբը կապված է ռուսական ընկերությունների դեմ իրականացվող spear-phishing հարձակումների հետ:

Թիրախները ներառում են ռուսական ագրոարդյունաբերական ձեռնարկության և պետական հետազոտական ընկերությունների մասշտաբները, նշվում է է F.A.C.C.T. կիբերանվտանգության ոլորտի ընկերության կողմից տարածած զեկույցում:

2022 թվականի դեկտեմբերին Check Point-ը և Positive Technologies-ը մանրամասնեցին հարձակման բազմափուլ հաջորդականությունը, ինչն էլ հանգեցրեց PowerShell-ի վրա հիմնված DLL payload-ի տարածմանը:

Հարձակման շղթան մեկնարկում է ֆիշինգային հաղորդագրությունը, որը հետաքրքրող փաստաթուղթ է բովանդակում, ինչ էլ հաջողությամբ չարաշահում է CVE-2017-11882 խոցելիությունը: Այն հանդիսանում է Microsoft Office-ի Equation Editor-ի վեց տարվա վաղեմություն ունեցող memory corruption-ի խոցելիությունը:

Spear-Phishing Attacks

Կասկածելի ծագմամբ HTML հավելվածը հետագայում գործարկում է Visual Basic Script (VBS) պարունակող տարբեր ֆայլեր, որոնք, ի վերջո, պատասխանատու են remote սերվերից VBS ծածկագրի առբերման և կատարման համար:

«Խմբի գործիքակազմն ու մարտավարությունն այսքան տարիների ընթացքում չի փոփոխվել: Նրանք փորձագետներից և անվտանգության աշխատակիցներից փորձում են թաքցնել իրենց չարամիտ ծրագիրը՝ օգտագործելով one-time payload request-ներ»։

Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ ընկերությունը հայտնեց Ռուսաստանում տեղակայված ավելի քան 20 կազմակերպությունների դեմ իրականացված արշավնեի մասին: Նախնական էտապում այն վեագրվես հաքերական խմբի առաջատար՝ Hellhoundsճին:

«Malware-ների և վնասական ֆայլերի հեղինակները մեծ ջանքեր են գործադրել՝ խոչընդոտելու դրանց հայտնաբերումն ու վերլուծությունը՝ ինչպես ընդհանուր տրաֆիկում, այնպես էլ ֆայլային համակարգում», – նշում են անվտանգության գծով փորձագետներ՝ Ստանիսլավ Պիժովը և Ալեքսանդր Գրիգորյանը:

 

Աղբյուրը՝  https://thehackernews.com/