Компания F.A.C.C.T. зафиксировала новые атаки шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию. Обе рассылки были перехвачены системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR.
Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года. Чаще других целями Cloud Atlas становились промышленные предприятия и госкомпании в России, Беларуси, Азербайджане, Турции и Словении.
В качестве основного вектора атаки Cloud Atlas отдает предпочтение точечной почтовой рассылке с вредоносным вложением. В рамках новой кампании злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.Рис.1. Скриншот письма с вложением для профсоюзных лидеров с просьбой оказать поддержку участникам СВО и членам их семей
В первом письме злоумышленники от имени представителей “Московской городской организации Общероссийского профессионального союза работников государственных учреждений” предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные — их можно найти в свободном доступе.
В другой почтовой рассылке злоумышленники представляются “Ассоциацией Учебных Центров” и используют актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.
Индикаторы компрометации, технический анализ новых атак Cloud Atlas, а также тактики, техники процедуры MITRE ATT&CK вы найдете свежем блоге от экспертов F.A.C.C.T.
Учитывая успешный опыт блокировки атак группы Cloud Atlas, остается только добавить, что система для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR обеспечивает защиту от широкого спектра киберрисков, среди которых программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищенного периметра.
Источник новости: habr.com