Malware Cloud Atlas APT vylepšil své schopnosti

Malware Cloud Atlas, řadící se mezi pokročilé trvalé hrozby (APT), který je známý také jako Inception, vylepšil své nástroje. Ty mu umožňují vyhnout se detekci prostřednictvím standardních indikátorů napadení. V poslední době zaznamenali odborníci útoky tímto malwarem v řadě organizací ve východní Evropě, centrální Asii i Rusku.

Cloud Atlas je kybernetickou hrozbou s velmi bohatou historií. Své kyberšpionážní aktivity cílí především na průmyslové podniky a vládní subjekty. Je aktivní od roku 2014, kdy došlo k její první detekci. Za několik posledních týdnů registrovali odborníci z Kaspersky aktivity Cloud Atlas zacílené na mezinárodní ekonomické a letecké společnosti, vládní a náboženské organizace v Portugalsku, Rumunsku, Turecku, Ukrajině, Rusku, Turkmenistánu, Afghánistánu a Kyrgyzstánu. Po úspěšné infiltraci systému je Cloud Atlas schopný:

  • sbírat informace o systému, k němuž získal přístup;
  • zaznamenávat hesla;
  • zasílat nově vzniklé .txt, .pdf, .xls a .doc soubory na C&C server.

I když Cloud Atlas od svého vzniku nijak výrazně nezměnil taktiku, pozorují odborníci od roku 2018 nový způsob infikování obětí a jeho další nepozorované šíření (lateral movements) napadenou sítí. V minulosti Cloud Atlas při zahájení útoku jako první poslal spear-phishingový e-mail se škodlivou přílohou. Když došlo k infikaci oběti, byl spuštěn PowerShower – přiložený malware určený pro počáteční průzkum systému a stažení dalších škodlivých modulů – umožňující další fáze kyberzločineckých operací.

Aktualizovaný řetězec infekce posunuje spuštění PowerShower na pozdější fázi útoku. Místo toho se po prvotní infekci zařízení stáhne a spustí škodlivá HTML aplikace. Ta následně o napadeném počítači sbírá informace a stahuje další škodlivý modul VBShower. Tento modul má za úkol vymazat důkazy o přítomnosti malwaru v systému a komunikovat s útočníky prostřednictvím C&C serverů další postup útoku. Na základě obdrženého příkazu buď malware stáhne a spustí PowerShower nebo jiný, dobře známý backdoor spojený s Cloud Atlas.

I když je nový infekční řetězec obecně mnohem komplikovanější než předchozí model, jeho hlavním rozlišovacím prvkem je skutečnost, že jsou škodlivá HTML aplikace a modul VBShower polymorfické. To znamená, že se kód obou modulů s každou další infekcí modifikuje – každá infekce tak má nový a unikátní kód. Podle odborníků na kybernetickou bezpečnost z Kaspersky je cílem aktualizovaných verzí co možná nejvíce škodlivý program zneviditelnit, tak aby je neodhalila bezpečnostní řešení spoléhající se na běžné indikátory napadení (IoC).

„Je zcela běžné, že společnosti v našem oboru sdílejí indikátory napadení. Díky tomu jsme schopni pružně reagovat na probíhající mezinárodní kyberšpionážní akce a minimalizovat škodlivé dopady. Nicméně už v roce 2016 jsme předpovídali, že IoC začnou zastarávat a nebude na ně stoprocentní spoleh v situacích, kdy by měly odhalit cílený síťový útok. Tyto úvahy dokázal už útok ProjectSauron a současný vývoj s Cloud Atlas je dalším pokračováním. Neznamená to ale, že se chycení útočníků stává složitějším. Pouze je nutné, aby se kyberbezpečnostní řešení a schopnosti vyvíjely současně s měnícími se dovednostmi hackerů,“ řekl Felix Aime, bezpečnostní odborník z GReAT týmu společnosti Kaspersky.

Zdroj: Kaspersky

Kategorie: Aktuality
08/2019

Zanechat komentář



IT-bezpecnost-logo-white

Login

2017 DCD Publishing s.r.o. ©  Všechna práva vyhrazena

Web by Marián Rehák.