Tác nhân đe dọa được gọi là Cloud Atlas có liên quan đến một loạt các cuộc tấn công lừa đảo vào các doanh nghiệp Nga.
Các mục tiêu bao gồm một doanh nghiệp nông-công nghiệp Nga và một công ty nghiên cứu nhà nước, theo một báo cáo từ F.A.C.C.T., một công ty an ninh mạng độc lập được thành lập sau khi Group-IB chính thức rời khỏi Nga vào đầu năm nay.
Cloud Atlas, hoạt động ít nhất từ năm 2014, là một nhóm gián điệp mạng không rõ nguồn gốc. Còn được gọi là Clean Ursa, Inception, Oxygen và Red October, tác nhân đe dọa được biết đến với các chiến dịch dai dẳng nhắm vào Nga, Belarus, Azerbaijan, Thổ Nhĩ Kỳ và Slovenia.
Vào tháng 12/2022, Check Point và Positive Technologies đã trình bày chi tiết các chuỗi tấn công nhiều giai đoạn dẫn đến việc triển khai một backdoor dựa trên PowerShell được gọi là PowerShower cũng như tải trọng DLL có khả năng giao tiếp với máy chủ do tác nhân điều khiển.
Điểm khởi đầu là một tin nhắn lừa đảo mang một tài liệu thu hút khai thác CVE-2017-11882, một lỗ hổng tham nhũng bộ nhớ sáu năm tuổi trong Trình soạn thảo phương trình của Microsoft Office, để bắt đầu thực thi các tải trọng độc hại, một kỹ thuật mà Cloud Atlas đã sử dụng vào đầu tháng 10 năm 2018.
"Các chiến dịch lừa đảo khổng lồ của nam diễn viên tiếp tục sử dụng các phương pháp đơn giản nhưng hiệu quả để thỏa hiệp các mục tiêu của nó", Kaspersky lưu ý vào tháng 8/2019. "Không giống như nhiều bộ xâm nhập khác, Cloud Atlas đã không chọn sử dụng cấy ghép nguồn mở trong các chiến dịch gần đây của mình, để ít phân biệt đối xử hơn."
F.A.C.C.T. mô tả chuỗi tiêu diệt mới nhất tương tự như chuỗi được mô tả bởi Positive Technologies, với việc khai thác thành công CVE-2017-11882 thông qua tiêm mẫu RTF mở đường cho shellcode chịu trách nhiệm tải xuống và chạy tệp HTA bị xáo trộn. Các thư có nguồn gốc từ các dịch vụ email phổ biến của Nga Yandex Mail và Mail.ru của VK.
Ứng dụng HTML độc hại sau đó khởi chạy các tệp Visual Basic Script (VBS) chịu trách nhiệm cuối cùng trong việc truy xuất và thực thi mã VBS không xác định từ máy chủ từ xa.
"Nhóm Cloud Atlas đã hoạt động trong nhiều năm, suy nghĩ cẩn thận về mọi khía cạnh của các cuộc tấn công của họ", Positive Technologies nói về nhóm này vào năm ngoái.
"Bộ công cụ của nhóm đã không thay đổi trong nhiều năm — họ cố gắng ẩn phần mềm độc hại của mình khỏi các nhà nghiên cứu bằng cách sử dụng các yêu cầu tải trọng một lần và xác thực chúng. Nhóm tránh các công cụ phát hiện tấn công mạng và tệp bằng cách sử dụng lưu trữ đám mây hợp pháp và các tính năng phần mềm được ghi chép đầy đủ, đặc biệt là trong Microsoft Office.
Sự phát triển này diễn ra khi công ty cho biết ít nhất 20 tổ chức ở Nga đã bị xâm nhập bằng cách sử dụng Decoy Dog, một phiên bản sửa đổi của Pupy RAT, cho rằng nó là một tác nhân đe dọa dai dẳng tiên tiến mà họ gọi là Hellhounds.
Phần mềm độc hại được duy trì tích cực, bên cạnh việc cho phép kẻ thù điều khiển từ xa máy chủ bị nhiễm, còn đi kèm với một tập lệnh được thiết kế để truyền dữ liệu đo từ xa đến tài khoản "tự động" trên Mastodon với tên "Lamir Hasabat" (@lahat) trên phiên bản Mindly.Social.
"Sau khi các tài liệu về phiên bản đầu tiên của Decoy Dog được xuất bản, các tác giả phần mềm độc hại đã nỗ lực rất nhiều để cản trở việc phát hiện và phân tích của nó cả về lưu lượng truy cập và trong hệ thống tệp", các nhà nghiên cứu bảo mật Stanislav Pyzhov và Aleksandr Grigorian cho biết.