“Лаборатория Касперского” зафиксировала новую волну сложных целевых атак кибергруппировки Cloud Atlas на организации в России и других странах Евразии, говорится в сообщении компании.

“Целями злоумышленников стали международные, экономические и аэрокосмические компании, а также правительственные и религиозные организации в России и ряде стран Восточной Европы и Центральной Азии. Отличительной особенностью этих атак стало использование нового, усовершенствованного способа проникновения в корпоративные сети, который позволяет киберпреступникам скрывать следы своего присутствия”, — говорится в сообщении.

Как отмечают эксперты, для заражения своих жертв злоумышленники рассылают адресные фишинговые письма с вредоносным вложением, которое Cloud Atlas изменила в своих последних атаках. Ранее в случае успешной атаки в системе пользователя автоматически устанавливался модуль PowerShower, который затем подгружал другое вредоносное ПО и запускал таким образом операцию кибершпионажа на локальном компьютере.

Теперь на атакованном устройстве устанавливается вредоносное HTML-приложение, которое собирает информацию о зараженном компьютере. Затем это приложение загружает модуль VBShower, который стирает следы присутствия злоумышленников в системе и отправляет собранную информацию Cloud Atlas для проверки. В зависимости от полученных в ответ команд VBShower подгрузит либо уже известный PowerShower, либо другой авторский бэкдор – Cloud Atlas.

“Помимо того, что эта схема заражения в целом более сложная, HTML-приложение и модуль VBShower являются полиморфными, то есть их код в каждом новом случае будет уникальным. А это сильно затрудняет обнаружение атаки с помощью известных индикаторов компрометации”, — отмечает “Лаборатория Касперского”.