Группа Cloud Atlas усиливает атаки на государственные структуры России и Беларуси с помощью новых инструментов

Группировка Cloud Atlas традиционно делает ставку на фишинг как основной вектор первоначального заражения. В ходе новых кампаний злоумышленники рассылают письма с вложениями в виде ZIP-архивов, внутри которых находится LNK-файл - ярлык Windows. При открытии такого ярлыка запускается PowerShell-скрипт, размещённый на внешних ресурсах. Этот метод отличается от ранее описанных атак, где хакеры использовали вредоносные документы с эксплуатацией старой уязвимости в редакторе формул Microsoft Office (CVE-2018-0802).

Процесс заражения отличается продуманностью и многоступенчатостью. После запуска PowerShell-скрипт выполняет целую цепочку действий. Прежде всего он размещает на диске основной вредоносный код - файл fixed.ps1. Затем скрипт создаёт ключ автозагрузки в реестре Windows, маскируясь под процесс настройки YandexBrowser. Это гарантирует, что даже при перезагрузке системы вредоносное ПО продолжит работу. После этого злоумышленники скачивают архив с безобидным PDF-документом, который открывают перед пользователем для отвлечения внимания. Пока жертва изучает поддельный документ, скрипт удаляет все следы первоначального заражения и запускает основную полезную нагрузку.

Ключевым инструментом в арсенале Cloud Atlas стал скрипт fixed.ps1, который выполняет роль загрузчика для двух типов бэкдоров (вредоносных программ для удалённого управления). Первый из них - VBCloud, который специализируется на краже файлов. Этот бэкдор загружается в зашифрованном виде и ищет на системе документы с расширениями DOC, PDF, XLS, после чего отправляет их на сервер управления злоумышленников.

Второй бэкдор, получивший название PowerShower, предназначен для разведки внутри сети и горизонтального перемещения между компьютерами. Отчёт исследователей указывает, что PowerShower способен собирать информацию о запущенных процессах, группах администраторов и контроллерах домена. Кроме того, он может выполнять атаки типа "кербероастинг" - кражу хэшей паролей учётных записей Active Directory (службы каталогов Microsoft). Особую опасность представляет дополнительный скрипт для кражи учётных данных, который создаёт теневую копию диска и извлекает из неё файлы SAM и SECURITY, содержащие хэши паролей локальных пользователей.

Для повышения привилегий на скомпрометированной системе злоумышленники используют обход механизма контроля учётных записей Windows через штатную утилиту fodhelper.exe. Этот метод позволяет запускать PowerShell с правами администратора без вывода диалогового окна, которое могло бы насторожить пользователя.

После закрепления в сети жертвы хакеры активно применяют технику создания обратных SSH-туннелей. Компрометированная машина инициирует исходящее подключение к серверу злоумышленников, что позволяет обходить стандартные настройки межсетевых экранов. Даже если основной бэкдор будет обнаружен, атакующие сохраняют контроль через SSH-канал. Для автоматизации этого процесса используются VBS-скрипты, запускаемые через утилиты PAExec или PsExec, а также создаются задачи в планировщике Windows.

Помимо SSH, Cloud Atlas применяет инструмент RevSocks, написанный на языке Go. Эта программа альтернативна SSH и предназначена для создания туннелей и прокси-подключений. RevSocks позволяет злоумышленникам получать доступ к рабочим станциям во внутренней сети и использовать скомпрометированную машину как шлюз для проникновения в другие сегменты.

В некоторых случаях хакеры используют сеть Tor для скрытого управления. На заражённые системы копируется минимальный набор файлов Tor Browser с изменённым именем исполняемого файла. В результате компьютер становится доступен через RDP (протокол удалённого рабочего стола) по сгенерированному .onion-домену.

Особого внимания заслуживает новый инструмент группировки - PowerCloud. Это обфусцированный PowerShell-скрипт, упакованный в исполняемый файл с помощью утилиты PS2EXE. PowerCloud собирает данные о пользователях с правами администратора, кодирует их в формат Base64 и записывает непосредственно в таблицы Google Sheets. Такой метод позволяет злоумышленникам получать разведданные, используя легитимный облачный сервис, который редко вызывает подозрения у систем защиты.

Для выбора оптимального времени атак хакеры применяют вспомогательный скрипт, проверяющий, запущены ли на системе браузеры Chrome, Edge или Firefox. Информация о работающих браузерах записывается в локальный файл журнала, что помогает злоумышленникам определить, когда пользователь активен, а когда можно действовать скрытно.

За десятилетие своей активности Cloud Atlas существенно расширила арсенал и продолжает совершенствовать методы. Создание резервных каналов управления с помощью общедоступных утилит значительно усложняет полное пресечение действий хакеров на скомпрометированных системах. Организациям, особенно государственным структурам и дипломатическим ведомствам, необходимо усилить мониторинг подозрительных сетевых соединений и обратить особое внимание на фишинговые атаки с вложениями в виде ярлыков Windows.

IPv4

• 146.70.53.171
• 185.126.239.77
• 185.22.154.73
• 185.250.181.207
• 185.53.179.136
• 194.102.104.207
• 194.87.196.163
• 195.58.49.9
• 37.228.129.224
• 45.15.65.134
• 45.87.219.116
• 46.17.44.125
• 46.17.44.212
• 46.17.45.49
• 46.17.45.56
• 5.181.21.75
• 81.30.105.71
• 93.125.114.193
• 93.125.114.57

Domains

• agenciakharis.com.br
• allgoodsdirect.com.au
• alnakhlah.com.sa
• amerikastaj.com
• bigbang.me
• cloudguide.in
• firsai.tipshub.net
• fishingflytackle.com
• goverru.com
• humanitas.si
• internationalcommoditiesllc.com
• investika-club.com
• istochnik.org
• kommando.live
• kufar.org
• lafortunaitalian.co.uk
• landscapeuganda.com
• mamurjor.com
• onedrivesupport.net
• paleturquoise-dragonfly-364512.hostingersite.com
• spbnews.net
• tenkoff.org
• totallegacy.org
• ultimatecore.net
• wizzifi.com

MD5

• 0320dd389fdbab25d46792bd2817675e
• 0577db70844e88b32b954906e2f20798
• 0857c84b62289a1a9f29e19244e9a499
• 097ca205ad9e3b72018750280904718c
• 0c514e137860f489e3801213460ef938
• 116f59e70a9df97f4adaea71eecb1e9a
• 1b39e86eb772a0e40060b672b7f574f1
• 1d401d6e6fc0b00aaa2c65a0ac0cfd6b
• 2042eb5d52f0b535a1ce6b6f954c8c2b
• 216cb7f31d383c0dd892b284df05a495
• 25c8ed0511375dca57ef136ac3fa0cca
• 28ecf8fb6719e14231b94b4d37629b0e
• 2aa1e9765ef6b00b94a9b6be0041436a
• 2b4ba4facf8c299749771a3a4369782e
• 2cabb721681455dae1b6a26709def453
• 344ca9ea07cd4ac90ef27f8890d4ec05
• 36120f5e9411bcbac7104ef3fa964ed2
• 369b75bdcded16469ede7ab8bedcfae1
• 38fa4306fa4406ba31cf171af4d36e34
• 3c75cedb1196df5eab91f31411ed4b33
• 3e6e9df00a764b348ec611ee8504aca0
• 40a562b8600f843b717bc5951b2e3c29
• 42ac350bfbc5b4eb0fedba16c81919c7
• 493b901d1b33eb577db64aadd948f9ce
• 5000a353399500bc78381dc95b6ed2dc
• 50568b1f9335a7e3ba4e5df035a8fb86
• 51f7f794ed43fb90d0f8ebbb5effe628
• 5329f7bff9d0d5db28821b86c26d628f
• 5339d1a666f3e40fe756505cf1d87d4b
• 579a9952d31cad801a3988dbe7914ce7
• 63b6be9ae8d8024a40b200cccb438f1d
• 67d7e3aeeb673bf60c59361c12a4ed81
• 69121c36eb8bf77962dca825fcffd873
• 6aa586bcc45ca2e92a4f0ef47e086fa1
• 6d7b2d1172bbdb7340972d844f6f0717
• 7242ac065b50bcde9308756b49dbadcb
• 7a95360b7e0eb5b107a3d231abbc541a
• 7f776ad200287d6de14a29158c457179
• 8158552950d2e13b075001ce0c52aa97
• 83edde9f7eeefac0363413972f35572b
• 867b634588c0fd6b26684d502c15ab03
• 89572f0ed20791a5ac9fc4267d67ccb0
• 9769f43b9de8d19e803263267fa6d62e
• 9bd788f285e32a05e6591d1eb36ebffc
• 9eaae9491f6a50d6df0be393734a44cb
• a632858f14b36f03d0f213f5f5d6bff2
• a75dbed984963b9ab21309c5b2f8fd9b
• b4e183627b7399006c1bc47b3711e419
• b6aae073e7bfebf4d643c2bbeb5c02e1
• b8c753dd254509fba5077ffd5067eab0
• ba9ce06641067742f2afc9691faff1dc
• bbf1fa694122e07635deeac11ad712f8
• bc3739dec8cd8f54f3f60a85f3ed600e
• c0d1eaa15a2cefbab9735787575c8d8e
• c5702eb250f855c8c872fffb9bb656ed
• cc751619bfec0dc4607c17112b9e3b2c
• d3c8afd22baa306ff659db1fac28574a
• d5b38b252cf212a4a32763de36732d40
• eba3bcdb19a7e256bf8e2cc5b9c1cca9
• ec076cd21c483a40156f4e40d08daded
• ed34f5a136fba4fdea976570faa33ed7
• f301aa3d62b5095eec4d8e34201a4769
• f42085522ec2ebb16edcf814e7c330ad
• f56b31a4b47ad3365b18a7e922fba1a8
• f6f62456fb0fcc396fb654cbed339bc3
• f721a76deb28fd0b80d27fce6b8f5016
• f9c3bbe108566d1a6b070f9c5fb03160
• fb0f8027acf1b1e47e07a63d8812ed50