| Vesti | Softver | Kaspersky: „Napredna pretnja Cloud Atlas nadogradila svoj arsenal napada polimorfnim malverom“
Softver Kaspersky

Kaspersky: „Napredna pretnja Cloud Atlas nadogradila svoj arsenal napada polimorfnim malverom“

Napredna uporna pretnja (APT) Cloud Atlas, poznatija i kao Inception, nadogradila je svoj arsenal napada novim alatima koji joj omogućavaju da ostane nezapažena i kroz standardne indikatore kompromitovanja (Indicators of Compromise). Ovaj ažurirani lanac infekcije uočen je u različitim organizacijama u Istočnoj Evropi, Centralnoj Aziji i Rusiji.

Cloud Atlas je akter pretnje sa dugom istorijom sajber špijunažnih operacija koje ciljaju industrije, vladine agencije i druge subjekte. Prvi put je identifikovan 2014. godine i od tada je aktivan. Istraživači kompanije Kaspersky nedavno su otkrili da je Cloud Atlas targetirao međunarodnu ekonomsku i vazduhoplovnu industriju, kao i vladine i verske organizacije u Portugalu, Rumuniji, Turskoj, Ukrajini, Rusiji, Turkmenistanu, Avganistanu i Kirgistanu između ostalih.

Nakon uspešne infiltracije, Cloud Atlas obavlja sledeće akcije: prikuplja informacije o sistemu kojem je stekao pristup, evidentira lozinke, filtrira nedavne .txt .pdf. xls .doc datoteke na komandni i kontrolni server. Iako Cloud Atlas nije drastično promenio taktiku, od 2018. godine, istraživanje je pokazalo da su nedavno otkriveni napadi počeli da primenjuju nov način inficiranja žrtava i da vrše bočno kretanje kroz njihovu mrežu.

Cloud Atlas bi ranije prvo poslao fišing e-mail sa zlonamernim prilogom žrtvi. U slučaju uspešne eksploatacije, PowerShower – priloženi malver koji se koristi za početno izviđanje i preuzimanje dodatnih zlonamernih modula – bi bio aktiviran kako bi sajber napadačima omogućio da nastave sa operacijom.

Nedavno ažurirani lanac infekcije odlaže izvršenje PowerShower malvera do kasnije faze; umesto toga, nakon početne infekcije, sada se preuzima i izvršava zlonamerna HTML aplikacija na targetiranom uređaju. Ova aplikacija zatim prikuplja početne informacije o napadnutom računaru i preuzima i izvršava VBShower – još jedan zlonamerni modul. VBShower zatim briše dokaze o postojanju zlonamernog softvera u sistemu i savetuje se sa njegovim upravljačima preko komandnih i kontrolnih servera kako bi odredili dalje akcije.

U zavisnosti od primljene komande, ovaj malver će zatim preuzeti i izvršiti PowerShower ili drugi dobro poznati bekdor druge faze Cloud Atlasa. Iako je ovaj novi lanac infekcije generalno mnogo komplikovaniji od prethodnog modela, njegov glavni diferencijator je činjenica da su zlonamerni HTML aplikacija i VBShower modul polimorfni.

To znači da će kod oba modula biti nov i jedinstven u svakom slučaju infekcije. Prema mišljenju stručnjaka kompanije Kaspersky, ova ažurirana verzija izvedena je kako bi se malver učinio nevidljivim za bezbednosna rešenja koja se oslanjaju na poznate indikatore kompromitovanja.

„Deljenje indikatora kompromitovanja (Indicators of Compromise – IoC) malicioznih operacija koje pronalazimo prilikom istraživanja postalo je dobra praksa u bezbednosnoj zajednici. Ovakva praksa omogućava nam da brzo reagujemo na međunarodne operacije sajber špijunaže sprečavajući dalju štetu. Međutim, kao što smo i predvideli već 2016. godine, IoC zastareva kao pouzdan alat za prepoznavanje ciljanog napada u vašoj mreži.

Ovo se prvi put pojavilo sa projektom Sauron, koji bi stvorio jedinstveni skup IoC-a za svaku od njegovih žrtava i nastavio sa trendom korišćenja alata otvorenog koda u operacijama špijunaže umesto jedinstvenih alata. Ovo se sada nastavlja sa nedavnim primerom polimorfnog malvera.

To ne znači da je aktere teže uhvatiti, već da se bezbednosne veštine i alati koje koristimo moraju razvijati zajedno sa alatima i veštinama zlonamernih aktera“, izjavio je Feliks Aime (Felix Aime), istraživač bezbednosti u GReAT timu kompanije Kaspersky.

 

Izvor: Securelist

 

Komentarišite na forumu…