Злоумышленники Cloud Atlas атакуют российские организации

[Ippolitovich]

«Лаборатория Касперского» сообщает о том, что кибергруппировка Cloud Atlas организовала новую серию сложных целевых атак: жертвами становятся российские организации. Сообщество Cloud Atlas было обнаружено ещё в 2014 году. С тех пор злоумышленники не прекращают свою деятельность. Как правило, атакующих интересуют учётные данные заражённого компьютера, а также документы в популярных форматах .txt, .pdf, .xls, .doc.

 

 

Мошенники распространяют адресные фишинговые письма с вредоносным вложением. До сих пор в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере.

 

В рамках новой волны атак на устройстве жертвы устанавливается вредоносное HTML-приложение, которое собирает информацию о заражённом компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой бэкдор — Cloud Atlas. Жертвами злоумышленников становятся международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии.