Старинная киберпреступная группировка пробудилась и атакует российские предприятия
Эксперты компании F.A.C.C.T. предотвратили две атаки, направленные на российские организации. За ними предположительно стоит русскоязычная APT-группировка, активная уже более десяти лет.
Атлас этапов атак
Эксперты компании F.A.C.C.T. (бывшая Group-IB) сообщили о масштабной кампании фишинга, нацеленной на российские предприятия. На данный момент известно о попытках атаковать агропромышленную компанию и некую исследовательскую госкомпанию. В F.A.C.C.T. утверждают, что за атакой стоит кибершпионская группировка Cloud Atlas, которая также известно под названиями Clean Ursa, Inception, Oxygen и Red October.
Операторы этой группировки неоднократно пытались атаковать предприятия не только в России, но и в Белоруссии, Азербайджане, Турции и Словении.
Cloud Atlas является APT-группировкой, активной как минимум с 2014 г. (а скорее всего, намного раньше) и специализирующейся на кибершпионаже и краже конфиденциальной информации. В качестве основного вектора атаки используется точечная почтовая рассылка с вредоносным вложением. В этот раз злоумышленники «использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет», говорится в русскоязычной публикации F.A.C.C.T.
При открытии пользователем документа из вложения электронного письма происходит загрузка по ссылке удаленного шаблона, - RTF-файла, в котором содержится эксплойт к старой уязвимости CVE-2017-11882. Эксплуатация этого «бага» приводит к запуску шелл-кода, загружающего, в свою очередь, HTA-файла (HTML-приложения) с обфускацией, который создаёт файл %APPDATA%\Microsoft\Windows\khaki.xml, а в альтернативных потоках его данных - файлы khakiing.vbs, khaki.vbs, khaki.hxn и khakiinit.vbs.
Файл khaki.xml:khaki.hxn содержит т.н. «полезную нагрузку», VBS-код предназначенный для загрузки следующей стадии с сервера атакующих и передачи ей управления. Следующая стадия, как отмечается в публикации F.A.C.C.T., также представляет VBS-код, но перехватить его экспертам не удалось.
Указанный выше файл .hxn осуществляет процедуры закрепления в системе и сетевое взаимодействие с сервером злоумышленников. Все эти действия осуществляются в режиме бесконечного цикла.
Язык: русский, квалификация: высокая
Cloud Atlas неоднократно привлекал к себе внимание за последние годы. Кто бы ни стоял за этой APT-группой, это явно люди, разговаривающие на русском языке, при этом обладающие высокой квалификацией.
По-видимому, они же стояли за операцией Red October, описанной в 2013-м году экспертами «Лаборатории Касперского».
В декабре 2022 года в своем собственном анализе эксперты Positive Technologies обратили внимание, что операторы Cloud Atlas не склонны менять свои инструменты на протяжении очень длительного времени. И, как можно заметить, уязвимость, которую эксплуатировали в этот раз, тоже новой не назовешь.
«Очевидно, что операторы Cloud Atlas знают, насколько неоперативно производится обновление офисных пакетов в организациях, в которые они целятся», - говорит технический директор компании SEQ Алексей Водясов. По его словам, главным средством доставки вредоносов остается фишинг, не теряющий своей эффективности несмотря ни на обилие публикаций о нем, ни на многочисленные технические средства для его профилактики. «Впрочем, в данном случае атаки удалось предотвратить благодаря XDR-системе, что хоть немного обнадеживает», - заключил Алексей Водясов.
И действительно, по утверждению авторов публикации в F.A.C.C.T., упомянутые атаки на госорганизацию и агропромышленную компанию в России удалось остановить.