Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception), за деятельностью которой специалисты наблюдают с 2014 года, расширила свой арсенал и теперь использует новую полиморфную малварь.
В основном группировка Cloud Atlas занимается кибершпионскими операциями, и главным целями хакеров являются компании промышленной отрасли и правительственные организации. С начала 2019 года фишинговые кампании группы в основном были сосредоточенные на России, Центральной Азии и некоторых регионах Украины.
Аналитики рассказывают, что в целом с 2018 года группировка полагается на уже доказавшую свою эффективность тактику и проверенную малварь. Так, хакеры по-прежнему используют фишинговые письма для выявления крупных жертв. Такие письма комплектуются документами Office, в которых используются вредоносные удаленные шаблоны, размещенные на удаленных серверах. Эту тактику группировки уже описывали и эксперты «Лаборатории Касперского» и их коллеги из Palo Alto Networks.
Ранее, сразу после эксплуатации уязвимостей CVE-2017-11882 (в Microsoft Equation) и CVE-2018-0802, хакеры задействовали свою малварь PowerShower. Но в последние месяцы цепочка заражения изменилась. Теперь в нее также входит полиморфная HTA, новый полиморфный VBS-имплант, VBShower, предназначенный для выполнения PowerShower и модульного бэкдора второй стадии заражения, который был описан исследователями еще пять лет назад и тех пор не менялся.
Кроме того, перед применением загрузчиков второго этапа заражения VBShower также позаботится о том, чтобы все свидетельства присутствия малвари были удалены из системы. Так, он пытается удалить все файлы, содержащиеся в %APPDATA%\..\Local\Temporary Internet Files\Content.Word и %APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\
В блоге компании были опубликованы обновленные индикаторы компрометации, включая IP-адреса управляющих серверов, некоторые email-адреса преступников, ключи реестра и так далее.
Источник: xakep.ru