☁ Специалисты экспертного центра безопасности Positive Technologies расследовали новую атаку группировки Cloud Atlas К экспертам PT ESC IR (отдела реагирования на угрозы) обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. К счастью, злоумышленники не успели закрепиться в ИТ-инфраструктуре и нанести значительный ущерб, остановить их удалось на этапе разведки: https://vk.cc/cFZjox Расследование инцидента показало, что за этой атакой, как и за другими похожими, стоит группировка Cloud Atlas, действующая с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна, за которой наши специалисты наблюдают с октября 2024 года, нацелена в основном на госорганы России и Беларуси. «За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2-сервера использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами», — рассказал Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы PT ESC. 💡 Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на геополитические темы, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты. В потоки таблиц этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее для шпионажа и кражи данных. 👀 Подробнее читайте на нашем сайте: https://vk.cc/cFZjox #PTESC #PositiveTechnologies