حملات فیشینگ هدفمند گروه Cloud Atlas به همسایگان و نزدیکان ایران

کمیته رکن چهارم – عامل تهدیدی به نام Cloud Atlas با مجموعه‌ای از حملات فیشینگ هدفمند (Spear-Phishing) به شرکت‌های روسی مرتبط است.

طبق گزارش F.A.C.‌C.T، که یک شرکت مستقل امنیت سایبری است که پس از خروج رسمی Group-IB از روسیه در اوایل سال‌جاری تشکیل شد، می‌گوید که اهداف شامل یک شرکت کشت و صنعت روسی و یک شرکت تحقیقاتی دولتی بود.

مجموعه Cloud Atlas که حداقل از سال ٢٠١۴ فعال است، یک گروه جاسوسی سایبری با منشا ناشناخته است. این عامل تهدید با نام‌های Clean Ursa، Inception، Oxygen و Red October نیز شناخته می‌شود و به خاطر کمپین حملات مداوم خود که روسیه، بلاروس، آذربایجان، ترکیه و اسلوونی را هدف قرار می‌دهد، شناخته می‌شود.
‌takian.ir cloud atlas spear phishing attacks 2
در دسامبر ٢٠٢٢، Check Point و Positive Technologies توالی‌های حمله چند مرحله‌ای را شرح دادند که منجر به استقرار یک backdoor مبتنی بر PowerShell به نام PowerShower و همچنین payload‌های DLL با قابلیت ارتباط با یک سرور تحت کنترل مهاجم شد.

نقطه شروع حملات Cloud Atlas، یک تکنیک فعال از اوایل اکتبر ۲۰۱۸ است که یک پیام فیشینگ می‌باشد که حاوی یک سند گمراه‌کننده است که از CVE-2017-11882، که یک نقص حافظه شش‌ساله در ویرایشگر معادلات مایکروسافت آفیس است، و از آن برای شروع اجرای payload‌های مخرب استفاده می‌کند.

takian.ir cloud atlas spear phishing attacks 3
‌کسپرسکی در آگوست ٢٠١٩ خاطرنشان کرد: «کمپین‌های گسترده فیشینگ هدفمند یا نیزه‌ای مهاجم همچنان از روش‌های ساده اما موثر خود برای به خطر انداختن اهداف خود استفاده می‌کنند. برخلاف بسیاری از مجموعه‌های نفوذی دیگر، Cloud Atlas در کمپین‌های اخیر، به‌منظور اینکه حملاتش کمتر تبعیض‌آمیز به نظر برسید، استفاده از ایمپلنت‌های متن باز را انتخاب نکرده است”.

مجموعه F.A.C.‌C.T. آخرین زنجیره حملات را شبیه به آنچه توسط Positive Technologies توصیف شده است، با بهره‌برداری موفقیت‌آمیز از CVE-2017-11882 از طریق تزریق تمپلیت RTF، هموار می‌کند تا راه را برای Shellcode که مسئول دانلود و اجرای یک فایل HTA مبهم است، هموار کند. ایمیل‌ها از سرویس‌های ایمیل محبوب روسی Yandex Mail و VK’s Mail[.]ru سرچشمه می‌گیرند.

برنامه مخرب HTML متعاقبا فایل‌های Visual Basic Script (VBS) را راه‌اندازی می‌کند که در‌نهایت مسئول بازیابی و اجرای یک کد VBS ناشناخته از یک سرور راه دور هستند.

مجموعه Positive Technologies سال گذشته درباره این گروه گفت: “گروه Cloud Atlas سال‌هاست که فعال بوده و به دقت در مورد همه جوانب حملات خود دقت می‌کند”.

مجموعه پازیتیو تکنولوژیز می‌گوید: “جعبه ابزار این گروه سال‌هاست که تغییر نکرده است. آنها سعی می‌کنند بدافزار خود را با استفاده از درخواست‌های یک باره payload و اعتباردهی آنها را از دید محققان پنهان کنند. این گروه از ابزار شناسایی شبکه و فایل‌های حمله با استفاده از فضای ابری قانونی و ویژگی‌های نرم‌افزاری به خوبی مستند شده، به‌ویژه در مایکرسافت آفیس، دوری می‌کند”.

این توسعه در حالی صورت می‌گیرد که این شرکت گفته است که حداقل ٢٠ سازمان مستقر در روسیه با استفاده از Decoy Dog، نسخه اصلاح‌شده Pupy RAT، به خطر افتاده‌اند و آن را به یک عامل تهدید دائمی پیشرفته که Hellhounds می‌نامد، نسبت می‌دهند.

بد‌افزاری به طور فعال حفظ و نگهداری می‌شود، علاوه بر اینکه به دشمن اجازه می‌دهد میزبان آلوده را از راه دور کنترل کند، همراه با یک اسکریپت طراحی شده برای انتقال داده‌های تله متری به یک حساب “خودکار” در Mastodon با نام “Lamir Hasabat” ([@]lahat) در Mindly[.]Social است.

استانیسلاو پیژوف و الکساندر گریگوریان، محققین امنیتی گفتند: “پس از انتشار مطالب مربوط به اولین نسخه از Decoy Dog، نویسندگان بدافزار تلاش زیادی کردند تا از شناسایی و تجزیه‌و‌تحلیل آن هم در ترافیک و هم در سیستم فایل جلوگیری کنند”.

منبع: تاکیان

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.