Cloud Atlas, киберпреступная группировка, с 2014 года атакует организации в России и Беларуси. В качестве командно-контрольных серверов они используют облачные сервисы, такие как Яндекс Диск и Google Sheets. Группа постоянно совершенствует и усложняет свои инструменты, а ее последний бэкдор, PowerShower, выполняет скрытые зашифрованные команды в XML-файлах.
Cloud Atlas APT
В ноябре 2024 года сотрудники одной из российских правительственных организаций обнаружили фишинговое письмо. Было установлено, что эта атака была частью фишинговой кампании Cloud Atlas, направленной на государственных служащих в России и Беларуси. Деятельность группы отслеживалась с конца октября 2024 года, и затронутые организации были уведомлены. Фишинговые письма представлялись отправленными от государственных учреждений и содержали документы-приманки, созданные с использованием техники Template injection.
Вредоносные документы не обнаруживались средствами антивирусной защиты. При запуске загружался шаблон с сервера злоумышленника. Сервер использовал уязвимость в компоненте Equation Editor. Cloud Atlas также использовала HTA-файлы и вредоносные VB-скрипты для доставки инструментов и взаимодействия с зараженными узлами. Группа добавляла в реестр Windows команду для выполнения вредоносного скрипта на зараженных узлах. В результате на зараженные узлы доставлялись и выполнялись другие инструменты Cloud Atlas, включая бэкдор PowerShower.
Indicators of Compromise
IPv4
- 176.124.33.86
- 185.99.2.168
- 188.127.235.216
- 213.180.204.148
- 79.143.87.233
- 80.85.153.195
Domains
- googleusercontent.com
- jhsdshdkajdhgfyhsfhjshh.cfd
- mehafon.com
- mirconnect.info
- oauth2.googleapis.com
- officeconfirm.technoguides.org
- sheets.googleapis.com
- technoguides.org
- webdav.yandex.ru
- web-whatapp.net
MD5
- 17ba532cca6b69ccd7934ad16ab3b878
- 257df0985cfaf3b947e042fb9af82eed
- 44619aef8f1b984492a75e8c23a01b71
- 510afa061564a097676f79c8c2d89b97
- 563b7d91c3fde2ae643f2cc1224eb9ec
- 6e9ecd9294139bc453f02e448cc8359e
- 8e276bc2326ab8c24df56e7153788da1
- b4b1f2d8e823e45596f2d7e79aa1c6f6
- d3fa018d222df3a5aa47392cf4083e6a
- d651f5bdbf100196f287573fc284ae08
- fa2423762b6ebb9cdb3371cc435efb7b
SHA1
- 31bea0a78548fc58e936fcd6a62876abf50a8fd8
- 3cdefb581cbd9460c7572f98ac749e4c1657b4f2
- 5a247da8a8b132b39bdcd1c057c895f9814c8334
- 828cb4553ec59c285f2ad56298c66cd8e916e778
- 92457167f373eb0bd34fa03e3344d247488e915e
- bf962be239d6db58be188467edb6700d05225372
- c71b68514dfe47a714dd99c04dce16514b605179
- d9bd15881ad8b654a2240a897cbeb46c03552d1e
- da64ff5480d8884fd32a69c2af5aa2fbb5cdb526
- e49b39b0bc9d2cfa9c6befcc4aac9d0174426827
- e60cf309532278a1cca95cd4b354416d1556e4b1
SHA256
- 27f77e73e1b1ce12b098362019266f5acb64f4bc34752ca0e3a16229880d300d
- 650409dc7ba6e4565e7ba598d9a21fa422cdc0404ab188d368faced929d634cf
- 8521d257295396a487dc0d7ccbeed25c05dcc12944e7f1addb06b57412676bf6
- 89d56295bc8571334aa6916587d3ca6be01934b97f5fdf1cf895d1beda1d73bf
- 9943fee873c0642216d1578fc4373648b670b5bc47a8bf37366063041518f8b2
- 9e838d7ad444130873a8c171d204283eb23ce9c2c5e3eb9d604848ef4401d71d
- b52233e2f3e885928834aaf1a8df86ec8e741fba2de5fedb31d1ed86768aeb4b
- bf6cfd89f09e0a28ec76ba1e2610c7fed149c4b94fa59f0a5a07f989fc7faa91
- c985309140500090ad457c4e380b461b7548cf837ddd45415edd4653e2ef50b2
- e09f90563be00fc947a80bb1902a1b05c9e9aa8c86d01a34204717d68eb1684f
- e91df17051b16bde97e7dec66a67025d2905612cc0bc5e3bc6b93493edf43d70