Фішингові атаки Cloud Atlas спрямовані проти російських аграрних та дослідницьких компаній

Хакерське угруповання «Хмарний Атлас» (Cloud Atlas), також відоме як Clean Ursa, Inception, Oxygen і Red October (остання назва – Червоний Жовтень – додає інтриги), діє щонайменше з 2014 року, практикує кібершпигунство і відоме постійними кампаніями, спрямованими проти росії, Білорусі, Азербайджану, Словенії і Туреччини. Хакери використовують прості, але ефективні методи для компрометації цілей, ретельно продумуючи кожен аспект своїх атак. Відправною точкою є фішингове повідомлення з документом-приманкою, який використовує давню вразливість пошкодження пам’яті в редакторі формул Microsoft Office. Листи надходять з популярних російських поштових сервісів Yandex.Mail і VK Mail.ru. Згодом зловмисний HTML-додаток запускає файли Visual Basic Script (VBS), які відповідають за отримання та виконання невідомого коду VBS з віддаленого сервера.

Інструментарій Cloud Atlas не змінювався роками – хакери намагаються приховати шкідливе ПЗ від дослідників, використовуючи одноразові запити корисного навантаження, і уникають інструментів виявлення мережевих і файлових атак, використовуючи легальне хмарне сховище та добре відомі функції ПЗ, зокрема в Microsoft Office. В одному зі своїх фішингових листів «хмарні хакери» від імені представників «Московської міської організації Загальноросійської професійної спілки працівників державних установ» запропонували організувати збір листівок і привітань для учасників т.з. «СВО» та членів їхніх сімей. (Вказані у листі контакти реальні.) В іншому – назвалися «Асоціацією Навчальних Центрів» і торкнулися актуальної теми законодавчих змін щодо військового обліку громадян рф, які перебувають у запасі. Атаки Cloud Atlas на російські компанії були успішними, тож, хай би звідки були ці кіберрозвідники, наразі вони на правильному боці сили.