Обновление активности группы Cloud Atlas: новые инструменты и вредоносная нагрузка
Группа Cloud Atlas возобновила свою активность, нацеливаясь на государственные и коммерческие организации в России и Беларуси. Злоумышленники используют новые инструменты и техники, включая вредоносные ярлыки и документы, для компрометации систем. Это представляет серьезную угрозу информационной безопасности.
Подробности
Группа Cloud Atlas вернулась к рассылке архивов с вредоносными ярлыками, запускающими PowerShell-скрипты. Злоумышленники сочетают эту технику с распространением вредоносных документов, которые эксплуатируют старую уязвимость в редакторе формул Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода. Также группа пользуется сторонними общедоступными утилитами (Tor, SSH и RevSocks) для закрепления в зараженных системах и организации резервных каналов управления. Для первоначальной компрометации группа Cloud Atlas продолжает использовать фишинг. В наблюдавшихся кампаниях злоумышленники распространяли по электронной почте ZIP-архивы с LNK-файлами внутри. С помощью ярлыков в формате LNK злоумышленники скрытно выполняют PowerShell-скрипты, размещенные на внешних ресурсах.Что делать
Для защиты от атак группы Cloud Atlas рекомендуется использовать комплексные меры безопасности, включая регулярные обновления программного обеспечения, использование сильных паролей и многофакторной аутентификации (MFA), а также регулярный анализ логов и сетевого трафика. Также важно обучать сотрудников правилам информационной безопасности и безопасным практикам работы с электронной почтой и в Интернете. Итог: Активность группы Cloud Atlas представляет серьезную угрозу информационной безопасности, и компании должны принять необходимые меры для защиты от этих атак. Регулярный анализ логов и сетевого трафика, а также обучение сотрудников правилам информационной безопасности, могут помочь предотвратить компрометацию систем.Источник: Kaspersky Securelist RU