Cloud Atlas APT IOCs - Part 2

security IOC

Cloud Atlas, киберпреступная группировка, с 2014 года атакует организации в России и Беларуси. В качестве командно-контрольных серверов они используют облачные сервисы, такие как Яндекс Диск и Google Sheets. Группа постоянно совершенствует и усложняет свои инструменты, а ее последний бэкдор, PowerShower, выполняет скрытые зашифрованные команды в XML-файлах.

Cloud Atlas APT

В ноябре 2024 года сотрудники одной из российских правительственных организаций обнаружили фишинговое письмо. Было установлено, что эта атака была частью фишинговой кампании Cloud Atlas, направленной на государственных служащих в России и Беларуси. Деятельность группы отслеживалась с конца октября 2024 года, и затронутые организации были уведомлены. Фишинговые письма представлялись отправленными от государственных учреждений и содержали документы-приманки, созданные с использованием техники Template injection.

Вредоносные документы не обнаруживались средствами антивирусной защиты. При запуске загружался шаблон с сервера злоумышленника. Сервер использовал уязвимость в компоненте Equation Editor. Cloud Atlas также использовала HTA-файлы и вредоносные VB-скрипты для доставки инструментов и взаимодействия с зараженными узлами. Группа добавляла в реестр Windows команду для выполнения вредоносного скрипта на зараженных узлах. В результате на зараженные узлы доставлялись и выполнялись другие инструменты Cloud Atlas, включая бэкдор PowerShower.

Indicators of Compromise

IPv4

  • 176.124.33.86
  • 185.99.2.168
  • 188.127.235.216
  • 213.180.204.148
  • 79.143.87.233
  • 80.85.153.195

Domains

  • googleusercontent.com
  • jhsdshdkajdhgfyhsfhjshh.cfd
  • mehafon.com
  • mirconnect.info
  • oauth2.googleapis.com
  • officeconfirm.technoguides.org
  • sheets.googleapis.com
  • technoguides.org
  • webdav.yandex.ru
  • web-whatapp.net

MD5

  • 17ba532cca6b69ccd7934ad16ab3b878
  • 257df0985cfaf3b947e042fb9af82eed
  • 44619aef8f1b984492a75e8c23a01b71
  • 510afa061564a097676f79c8c2d89b97
  • 563b7d91c3fde2ae643f2cc1224eb9ec
  • 6e9ecd9294139bc453f02e448cc8359e
  • 8e276bc2326ab8c24df56e7153788da1
  • b4b1f2d8e823e45596f2d7e79aa1c6f6
  • d3fa018d222df3a5aa47392cf4083e6a
  • d651f5bdbf100196f287573fc284ae08
  • fa2423762b6ebb9cdb3371cc435efb7b

SHA1

  • 31bea0a78548fc58e936fcd6a62876abf50a8fd8
  • 3cdefb581cbd9460c7572f98ac749e4c1657b4f2
  • 5a247da8a8b132b39bdcd1c057c895f9814c8334
  • 828cb4553ec59c285f2ad56298c66cd8e916e778
  • 92457167f373eb0bd34fa03e3344d247488e915e
  • bf962be239d6db58be188467edb6700d05225372
  • c71b68514dfe47a714dd99c04dce16514b605179
  • d9bd15881ad8b654a2240a897cbeb46c03552d1e
  • da64ff5480d8884fd32a69c2af5aa2fbb5cdb526
  • e49b39b0bc9d2cfa9c6befcc4aac9d0174426827
  • e60cf309532278a1cca95cd4b354416d1556e4b1

SHA256

  • 27f77e73e1b1ce12b098362019266f5acb64f4bc34752ca0e3a16229880d300d
  • 650409dc7ba6e4565e7ba598d9a21fa422cdc0404ab188d368faced929d634cf
  • 8521d257295396a487dc0d7ccbeed25c05dcc12944e7f1addb06b57412676bf6
  • 89d56295bc8571334aa6916587d3ca6be01934b97f5fdf1cf895d1beda1d73bf
  • 9943fee873c0642216d1578fc4373648b670b5bc47a8bf37366063041518f8b2
  • 9e838d7ad444130873a8c171d204283eb23ce9c2c5e3eb9d604848ef4401d71d
  • b52233e2f3e885928834aaf1a8df86ec8e741fba2de5fedb31d1ed86768aeb4b
  • bf6cfd89f09e0a28ec76ba1e2610c7fed149c4b94fa59f0a5a07f989fc7faa91
  • c985309140500090ad457c4e380b461b7548cf837ddd45415edd4653e2ef50b2
  • e09f90563be00fc947a80bb1902a1b05c9e9aa8c86d01a34204717d68eb1684f
  • e91df17051b16bde97e7dec66a67025d2905612cc0bc5e3bc6b93493edf43d70
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий