В России разоблачили шпионскую атаку иностранных хакеров. Специалисты Positive Technologies рассказали о новой серии фишинговых кибератак, направленной на госучреждения России и Белоруссии. За ИТ-атаками стоит APT-группировка Cloud Atlas
Группировка атакует государственные организации в России и Белоруссии уже на протяжении 10 лет.
Несмотря на то что арсенал Cloud Atlas не претерпел значительных изменений, тем не менее они продолжают экспериментировать и совершенствовать свои TTPs. Если ранее в качестве документа-приманки Cloud Atlas, как правило, использовала тексты, связанные с текущей геополитической обстановкой, то в рамках этой кампании документы представляли собой запросы о предоставлении определенного рода информации.
Рассылка от имени Министерства связи и информатизации Республики Беларусь осуществлялась с адресов на сервисе mail ru. Обнаруженные вредоносные документы использовали технику удаленной загрузки шаблона (Template injection). Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC. На момент проведения фишинговой кампании вредоносные документы не детектировались средствами антивирусной защиты. При запуске вредоносного документа загружается шаблон с сервера злоумышленника officeconfirm.technoguides[.]org (на момент расследования этот сервер был уже недоступен).
На скриншотах представлены примеры документов-приманок, которые использовали злоумышленники в ходе фишинговой кампании. Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC.
Но исследователям удалось отследить результаты проверки аналогичного DOC-файла на VirusTotal: на момент загрузки образца управляющий сервер был доступен и результаты поведенческого анализа документа оказались релевантными.
В графе поведенческого анализа в песочнице C2AE был обнаружен GET-запрос к управляющему серверу, в ответ на который сервер вернул файл типа application/hta. На зараженных узлах были обнаружены факты выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов с именем AppCache***.log по пути %APPDATA%\Microsoft\Windows.
При этом VB-скрипты взаимодействовали с C2-сервером, в качестве которого использовался документ Google Sheets. Рассматриваемый VB-скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде.
В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas. В частности, бэкдор PowerShower, выполняющий команды, полученные с C2-сервера mehafon[.]com.
Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.
Легитимный уязвимый файл CiscoCollabHost.exe вызывает функцию SparkEntryPoint библиотеки CiscoSparkLauncher.dll, расположенной в той же папке. В ней же расположен файл с полезной нагрузкой.
Меры защиты
Для предотвращения подобных кибератак ИБ-специалисты из Positive Technologies рекомендуют пользователям соблюдать актуальные ИБ-правила, включая тщательное изучение писем перед открытием вложений, проверку адресов отправителей и сохранение спокойствия при получении сообщений. Также важно своевременно обращаться к ИБ-специалистам по реагированию и расследованию для минимизации ущерба компании и государственных учреждений в России и Белоруссии.
Организациям ИБ-специалисты предлагают выстраивать многоуровневую защиту ИТ-инфраструктуры, используя передовые продукты кибербезопасности.
Полный отчет по данной атаке можно почитать в расширенном исследовании на сайте Positive Technologies
