В ноябре 2024 года сотрудники одной из российских государственных организаций обнаружили фишинговую рассылку и обратились за помощью к нашей команде. В ходе расследования мы выяснили, что атака – часть фишинговой кампании, нацеленной на сотрудников государственных организаций России и Белоруссии, за которой стоит группировка Cloud Atlas.
Полный отчет по данной атаке можно почитать в расширенном исследовании на сайте, а также раннее мы уже описывали активность группировки в отчете APT Cloud Atlas: Unbroken Threat.
Срочно, фишинг!
На скриншотах ниже представлен пример фишингового письма, отправленного якобы Министерством связи и информатизации Республики Беларусь.
Рассылка осуществлялась с адресов @internet.ru. Такой домен почтового адреса можно получить при регистрации на сервисе mail.ru.
Если ранее в качестве документа-приманки Cloud Atlas, как правило, использовала тексты, связанные с текущей геополитической обстановкой, то в рамках этой кампании документы представляли собой запросы о предоставлении определенного рода информации: о выполнении тех или иных поручений или о должностных лицах.
Обнаруженные нами в ходе расследования инцидента вредоносные документы использовали технику удаленной загрузки шаблона (Template injection).
На скриншотах ниже представлены примеры документов-приманок, которые использовали злоумышленники в ходе фишинговой кампании.
Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC.
На момент проведения фишинговой кампании вредоносные документы не детектировались средствами антивирусной защиты.
При запуске вредоносного документа загружается шаблон с сервера злоумышленника officeconfirm.technoguides[.]org. Когда мы начали расследование инцидента, этот сервер был уже недоступен, однако по артефактам, найденным на зараженных узлах, и срабатываниям средства антивирусной защиты мы сделали вывод, что загружаемый шаблон эксплуатировал уязвимость в компоненте Equation Editor.
Также нам удалось обнаружить результаты проверки аналогичного DOC-файла на VirusTotal: на момент загрузки образца управляющий сервер был доступен и результаты поведенческого анализа документа оказались релевантными.
В графе поведенческого анализа в песочнице C2AE был обнаружен GET-запрос к управляющему серверу, в ответ на который сервер вернул файл типа application/hta. Данный запрос был осуществлен через несколько секунд после запроса к вредоносному шаблону.
На зараженных узлах мы обнаружили факты выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов с именем AppCache***.log по пути %APPDATA%\Microsoft\Windows. Что примечательно, VB-скрипты взаимодействуют с C2-сервером, в качестве которого используется документ Google Sheets.
Рассматриваемый VB-скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде. В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas. В частности, был доставлен бэкдор PowerShower, выполняющий команды, полученные с C2-сервера mehafon[.]com (подробнее — в расширенном исследовании в разделе «Анализ ВПО»).
Следы закрепления PowerShower также были обнаружены в ключе автозапуска:
Canon_upd - powershell -ep bypass -w 01 "%AllUsersProfile%\Canon\CanonHost.ps1" |
Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex:
%APPDATA%\Cisco\CiscoCollabHost.exe;%APPDATA%\Cisco\CiscoSparkLauncher.dll.
Легитимный уязвимый файл CiscoCollabHost.exe вызывает функцию SparkEntryPoint библиотеки CiscoSparkLauncher.dll, расположенной в той же папке. В ней же расположен файл с полезной нагрузкой.
Итоговую цепочку заражения можно представить следующим образом:
XOR, hash суммы, байты, записанные в шестнадцатеричном виде – все про то, как были обфускацированы скрипты (и не только), можно найти в нашем исследовании ?
Заключение
Группировка Cloud Atlas атакует государственные организации в России и Белоруссии уже на протяжении 10 лет. Арсенал Cloud Atlas не претерпел значительных изменений и злоумышленники все так же полагаются на облачные сервисы: они продолжают экспериментировать с различными популярными платформами. Особенностью этой кампании стало использование Google Sheets в качестве управляющего сервера. Группировка продолжает совершенствовать свои тактики и дорабатывать свое вредоносное ПО. Но и мы тоже не дремлем ?
Георгий Хандожко
Специалист департамента комплексного реагирования на киберугрозы PT ESC
Александр Григорян
Заместитель руководителя департамента комплексного реагирования на киберугрозы PT ESC
Владислав Лунин
Старший специалист группы исследования сложных угроз PT ESC
Комментарии (11)
ifap
16.12.2024 09:09Есть ли вообще рациональная причина разрешать текстовому редактору доступ в Сеть?
JumpinCarrot
16.12.2024 09:09Конечно, DRM.
ifap
16.12.2024 09:09А мсье знает толк! ;-)
JumpinCarrot
16.12.2024 09:09Не, ну я шучу конечно. Наверняка у MS гораздо сложнее этот процесс устроен. Специальная служба активации и все такое. Но впечатление у рядового юзера, что уже ничего без интернета не работает, даже калькулятор.
miarh
Из текста не понятно, есть ли случаи, когда злоумышленники достигли цели? Как в таком случае дальше развивается атака?
"Но и мы тоже не дремлем " - что делать для предотвращения, ну или, хотя бы, для минимизации. Если антивирусник молчит, процентов 30-50 сотрудников такое письмо откроют. Увы.
KeystoneD
Бабки вкладывать в оперативную деятельность внутреннюю
Ну и делать попытки учить не открывать, радикализировать уникальный метод под названием "атата"
Shaman_RSHU
Повышение осведомленности сотрудников очень сильно сужают поверхность атаки - проверено на практике. В начале года что-то подобное периодически приходило.
Антивирус не панацея. Здесь больше поможет EDR и круглосуточно не дремлющий SOC.
Кстати, как пишут ниже, есть хороший радикальный метод "атата": периодически проводить киберучения и тех, кто открывает вложения/переходит по ссылкам "замучеть" повышением осведомленности :)