SecurityWorldMarket

2019-08-15

Cloud Atlas uppgraderar sin arsenal av intrångsverktyg

Cloud Atlas, en APT-grupp (Advanced Persistent Threat), även känd som Inception, har uppdaterat sin uppsättning intrångsverktyg, så att de blivit svårare att upptäcka. Den uppdaterade infektionskedjan har upptäckts hos verksamheter i Östeuropa, Centralasien och Ryssland.

Cloud Atlas är en hotaktör med en lång historia av cyber-spionage riktat mot industrier, myndigheter och andra verksamheter. De upptäcktes första gången 2014 och har varit aktiva sedan dess. Nyligen identifierade Kasperskys forskare att Cloud Atlas siktat in sig på internationella verksamheter och flygindustrin samt statliga och religiösa verksamheter, bland annat i Portugal, Rumänien, Turkiet, Ukraina, Ryssland, Turkmenistan, Afghanistan och Kirgizistan. Om Cloud Atlas på ett framgångsrikt sätt lyckas infiltrera verksamheterna kan de:

  • samla in information om systemet de fått tillgång till.
  • komma åt lösenord.
  • kopiera, överföra och hämta .txt- .pdf-. xls- eller .doc-filer.

Även om Cloud Atlas inte har förändrat sin taktik på något avgörande sätt sedan 2018, har forskarna upptäckt att den senaste attackvågen använder ett nytt sätt att infektera sina offer och att röra sig lateralt i nätverken de infiltrerat.

Spear-phishing-meddelande
Tidigare använde Cloud Atlas en metod där de först skickade ett spear-phishing-meddelande med e-post till sitt mål. Meddelandet innehöll en skadlig bilaga, där den skadliga koden Powershower var inbäddad. Koden användes sedan för att rekognoscera systemet och även ladda ner ytterligare skadliga moduler, så att attacken kunde fullföljas.

Komplicerad infektionskedja
Den nyligen uppdaterade infektionskedjan skjuter upp aktiveringen av Powershower till ett senare tillfälle. Istället laddas en skadlig HTML-applikation ner och körs på målmaskinen. Denna applikation samlar in grundläggande information om den angripna datorn och laddar ner och kör VBShower, en annan skadlig kodmodul. VBShower raderar då bevisen på att den skadliga koden finns i systemet och konsulterar med sina överordnade för att besluta vilka åtgärder som den fortsatta attacken ska genomföra. Beroende på vad de beslutar kommer den skadliga programvaran att antingen ladda ner och köra Powershower eller någon annan kod som Cloud Atlas använder.

Denna nya infektionskedja är visserligen mycket mer komplicerad än den tidigare, men den största skillnaden är att en skadlig HTML-applikation laddas ner och att VBShower-modulen är polymorf. Det innebär att koden i båda modulerna kommer att vara ny och unik varje gång de används. Enligt Kasperskys experter görs denna förändring för att det ska bli svårare för säkerhetslösningar som förlitar sig på kända indikatorer att upptäcka intrånget.

Hålla jämn takt med skadliga aktörer
Det är praxis i säkerhetsbranschen att dela med oss av intrångsindikatorer (så kallade IoC, Indicators of Compromise) som vi hittar, säger Felix Aime, säkerhetsforskare på Kaspersky. Det gör att vi ganska snabbt kan reagera på pågående internationell cyber-spionageaktivitet och förhindra att de orsakar ytterligare skador.

Utmaningen ligger i att hålla jämn takt med de skadliga aktörerna. Det betyder inte att aktörerna blivit svårare att fånga, utan att säkerhetsfärdigheterna och skyddsverktygen måste utvecklas i takt med de skadliga aktörernas verktyg och färdigheter.

Redan 2016 förutspådde vi att IoC skulle bli ett föråldrat sätt att upptäcka riktade attacker i ett nätverk, fortsätter Felix Aime. Det stod först klart med ProjectSauron, som skapade en unik uppsättning IoC:er för varje attack och fortsatte med trenden att använda öppna källkodsverktyg i spionagegrupper istället för unika. Trenden fortsätter nu med detta senaste exempel på polymorfisk skadlig kod.


Leverantörer
Till toppen av sidan