Cloud Atlas, группа кибершпионажа, действующая как минимум с 2014 года, представила новые инструменты в своих кампаниях 2024 года.
Cloud Atlas APT
Группа использует фишинговые письма для распространения вредоносных документов, эксплуатирующих известную уязвимость в Equation Editor (CVE-2018-0802). Эти документы загружают дополнительные компоненты вредоносного ПО, включая VBShower и VBCloud, через поэтапный процесс заражения. VBShower действует в качестве начального бэкдора, устанавливающего VBCloud, который использует публичные облачные сервисы в качестве командно-административного управления. сервисы в качестве командно-контрольных (C2) серверов.
VBShower извлекает файлы, используя альтернативные потоки данных, и запускает дополнительные скрипты для очистки улик, установки других бэкдоров и сбора системной информации. информацию о системе. VBCloud развивает эти возможности, обеспечивая утечку конфиденциальных файлов и системных данных через зашифрованные архивы. Оба бэкдоры развертывают сценарии PowerShell для бокового перемещения, сбора данных и даже Kerberoasting. сбора данных и даже атаки Kerberoasting на контроллеры домена. Cloud Atlas продолжает совершенствовать свой набор инструментов, используя ограниченные по времени и региональные механизмы, чтобы избежать обнаружения.
Группа Группа по-прежнему сосредоточена на краже документов с расширениями DOC, XLS, PDF и др., причем целью являются файлы, измененные совсем недавно. В кампании кампании 2024 большинство жертв находилось в России, а отдельные случаи В ходе кампании 2024 большинство жертв находилось в России, отдельные случаи были зафиксированы в Беларуси, Канаде и Турции. Исторически сложилось так, что группа воздействовала на организации в Восточной Европе и Центральной Азии.
Indicators of Compromise
Domains
- content-protect.net
- control-issue.net
- gosportal.net
- kim.nl.tab.digital
- mirconnect.info
- net-plugin.org
- office-confirm.com
- onesoftware.info
- riamir.net
- sber-cloud.info
- serverop-parametrs.com
- triger-working.com
- webdav.mydrive.ch
- webdav.opendrive.com
- webdav.yandex.ru
- web-privacy.net
- web-wathapp.com
- yandesks.net
- yandesktop.com
- yandisk.info
MD5
- 0139f32a523d453bc338a67ca45c224d
- 016b6a035b44c1ad10d070abcdfe2f66
- 01db58a1d0ec85adc13290a6290ad9d6
- 0f37e1298e4c82098dc9318c7e65f9d2
- 15fd46ac775a30b1963281a037a771b1
- 160a65e830eb97aae6e1305019213558
- 184cf8660af7538cd1cd2559a10b6622
- 1af1f9434e4623b7046cf6360e0a520e
- 1bfb9cba8aa23a401925d356b2f6e7ed
- 21585d5881cc11ed1f615fdb2d7acc11
- 242e86e658fe6ab6e4c81b68162b3001
- 2d24044c0a5b9ebe4e01ded2bfc2b3a4
- 2fe7e75bc599b1c68b87cf2a3e7aa51f
- 31b01387ca60a1771349653a3c6ad8ca
- 36dd0fbd19899f0b23ade5a1de3c2fec
- 389bc3b9417d893f3324221141edea00
- 389f6e6fd9dcc84c6e944dc387087a56
- 3a54acd967dd104522ba7d66f4d86544
- 3f12bf4a8d82654861b5b5993c012bfa
- 49f8ed13a8a13799a34cc999b195bf16
- 4b96dc735b622a94d3c74c0be9858853
- 6fcee9878216019c8dfa887075c5e68e
- 88be01f8c4a9f335d33fa7c384ca4666
- 9d3557cc5c444fe5d73e4c7fe1872414
- a30319545fda9e2da0532746c09130eb
- aa8da99d5623fafed356a14e59acbb90
- cba05e11cb9d1d71f0fa70ecd1af2480
- cbfb691e95ee34a324f94ed1ff91bc23
- d445d443ace329fb244edc3e5146313b
- f3f28018fb5108b516d802a038f90bde
- f45008bf1889a8655d32a0eb93b8acdd
