ClickCease Cloud Atlas Phishing-Angriffe: Russische Unternehmen aufgepasst

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Cloud Atlas Phishing-Angriffe: Russische Unternehmen aufgepasst

Wajahat Raja

Januar 12, 2024 - TuxCare-Expertenteam

Die Landschaft der Cybersicherheitsbedrohungen 2024 stellt uns vor noch nie dagewesene Herausforderungen, die einen proaktiven und anpassungsfähigen Ansatz zum Schutz digitaler Ökosysteme erfordern. Dies bringt uns zu einem aktuellen Vorfall im Bereich der Cyberspionage. Die berühmte Hackergruppe mit dem Namen Cloud Atlas hat es auf ein russisches Agrarindustrieunternehmen und ein staatliches Forschungsunternehmen abgesehen. Diese Erkenntnisse werfen ein Licht auf eine neue Welle von Spear-Phishing-Angriffen, die Cloud Atlas Phishing-Angriffe die sich rasch auf russische Organisationen auswirken.


Ein produktiver Akteur der Bedrohung


Cloud Atlas Phishing-Angriffe auf russische Organisationen
haben jetzt mehr denn je an Komplexität und Häufigkeit zugenommen. Cloud Atlas, auch bekannt unter Pseudonymen wie Clean Ursa, Inception, Oxygen und Red October, ist eine aktive Cyberspionagegruppe seit mindestens 2014. Der Bedrohungsakteur mit unbekanntem Ursprung ist für seine hartnäckigen Kampagnen gegen Länder wie Russland, Weißrussland, Aserbaidschan, die Türkei und Slowenien berüchtigt.


Cloud Atlas Phishing-Angriffe - Die Methodik


Fortgeschrittene anhaltende Bedrohungen (APTs)
stellen weiterhin eine gewaltige Herausforderung für die Cybersicherheit dar. Im Dezember 2022 beschrieb ein gemeinsamer Bericht von Check Point und Positive Technologies die mehrstufigen Angriffssequenzen, die von Cloud Atlas orchestriert wurden. Die Kampagne führte zur Bereitstellung einer PowerShell-basierten Backdoor namens PowerShower und DLL-Nutzdaten, die mit einem vom Bedrohungsakteur kontrollierten Server kommunizieren können.

Der ursprüngliche Einstiegspunkt für die Cloud Atlas-Cyberspionage ist eine Phishing-Nachricht, die ein Köderdokument enthält, das CVE-2017-11882 ausnutzt, eine sechs Jahre alte Speicherfehlfunktion im Gleichungseditor von Microsoft Office. Diese Schwachstelle startet die Ausführung von bösartigen Nutzdateneine Technik, die Cloud Atlas bereits im Oktober 2018 eingesetzt hat.


E-Mail-Phishing in Unternehmensumgebungen


Im Gegensatz zu vielen anderen Eindringlingsgruppen verzichtet Cloud Atlas in seinen jüngsten Kampagnen auf die Verwendung von Open-Source-Implantaten, um weniger auffällig zu sein. Kaspersky stellte im August 2019 fest, dass die massiven Spear-Phishing-Kampagnen der Gruppe immer wieder einfache, aber effektive Methoden verwenden, um ihre Ziele zu kompromittieren.

F.A.C.C.T. beschrieb die jüngste Kill Chain als ähnlich wie die von Positive Technologies beschriebene, wobei die erfolgreiche Ausnutzung von CVE-2017-11882 über RTF-Vorlageninjektion, die den Weg für Shellcode ebnet. Dieser Shellcode ist für das Herunterladen und Ausführen einer verschleierten HTA-Datei verantwortlich. Die bösartigen E-Mails stammen von beliebten russischen E-Mail-Diensten wie Yandex Mail und Mail.ru von VK.


Hacking-Techniken für Cloud Atlas


Positive Technologies verwies auf die Langlebigkeit und sorgfältige Planung von Cloud Atlas und betonte, dass das Toolkit der Gruppe seit Jahren unverändert geblieben ist. Die Gruppe verwendet einmalige Nutzlastanfragen und validiert sie, um ihre Malware vor Forschern zu verbergen. 

Durch die Nutzung legitimer Cloud-Speicher und gut dokumentierter Softwarefunktionen, insbesondere in Microsoft Office, entgeht Cloud Atlas der Erkennung durch Netzwerk- und Datei-Angriffstools. Dies unterstreicht die Notwendigkeit für Unternehmen, Strategien und Technologien zu priorisieren, die darauf abzielen Schutz vor staatlich gesponserten Cyberangriffen.


Eine wachsende Besorgnis


Diese Enthüllung fällt mit der Bestätigung zusammen, dass mindestens 20 Organisationen in Russland Opfer von Decoy Dog, einer modifizierten Version von Pupy RAT, geworden sind. Diese Kompromittierung wird einem als Hellhounds bekannten Akteur für fortgeschrittene anhaltende Bedrohungen zugeschrieben. Die aktiv gepflegte Malware ermöglicht die Fernsteuerung infizierter Hosts. Sie enthält ein Scriptlet, das Telemetriedaten an ein "automatisiertes" Konto auf Mastodon mit dem Namen "Lamir Hasabat" (@lahat) auf der Mindly.Social-Instanz übermittelt.

Sicherheitsforscher haben nach der Veröffentlichung von Material über die erste Version von Decoy Dog darauf hingewiesen, dass die Malware kontinuierlich weiterentwickelt wird, um die Erkennung und Analyse zu erschweren, sowohl im Datenverkehr als auch im Dateisystem. Wie Sie sehen, Cyber-Bedrohungen für russische Unternehmen immer raffinierter geworden und stellen eine wachsende Herausforderung für die Cybersicherheit dar.


Schlussfolgerung


Die APT-Gruppe Cloud Atlas
operiert mit einem Grad an Raffinesse, der sie in der Welt der Cyberbedrohungen auszeichnet. Da sich die Cybersicherheitslandschaft ständig weiterentwickelt, ist Wachsamkeit gegenüber ausgeklügelten Bedrohungen wie Cloud Atlas unabdingbar. Unternehmen müssen proaktiven Cybersicherheitsmaßnahmen gegen Phishingwie z. B. das Schließen von Schwachstellen und die Implementierung robuster Sicherheitsprotokolle, um den Vormarsch von Cyber-Angreifern zu vereiteln.

Angesichts dieser aufkommenden Cyber-Bedrohungen ist der Einsatz robuste Cybersicherheitsmaßnahmen von entscheidender Bedeutung. Unternehmen müssen ihre Cybersicherheitsvorkehrungen verstärken und ihre Verteidigung gegen sich entwickelnde Bedrohungen wie die Cloud Atlas Phishing-Angriffe.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Die Platte.

Zusammenfassung
Cloud Atlas Phishing-Angriffe: Russische Unternehmen aufgepasst
Artikel Name
Cloud Atlas Phishing-Angriffe: Russische Unternehmen aufgepasst
Beschreibung
Schützen Sie Ihr Unternehmen vor Cloud Atlas-Phishing-Angriffen. Gewinnen Sie Einblicke in aktuelle Cyber-Bedrohungen, die auf russische Unternehmen abzielen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter