ClickCease Ataques de phishing de Cloud Atlas: Cuidado con las empresas rusas

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ataques de phishing de Cloud Atlas: Cuidado con las empresas rusas

Wajahat Raja

12 de enero de 2024 - Equipo de expertos TuxCare

El panorama de las amenazas a la ciberseguridad 2024 presenta retos sin precedentes, que requieren un enfoque proactivo y adaptativo para salvaguardar los ecosistemas digitales. Esto nos lleva a un reciente incidente de ciberespionaje. El famoso grupo de hackers identificado como Cloud Atlas ha puesto sus miras en una empresa agroindustrial rusa y en una compañía estatal de investigación. Estos descubrimientos arrojan luz sobre una nueva oleada de ataques de spear-phishing, los ataques de phishing de Cloud Atlas que están afectando rápidamente a organizaciones rusas.


Un prolífico actor de amenazas


Cloud Atlas Los ataques de phishing a organizaciones rusas
han aumentado más que nunca en complejidad y frecuencia. Cloud Atlas, también reconocido por alias como Clean Ursa, Inception, Oxygen y Red October, ha sido un grupo de ciberespionaje activo desde al menos 2014. De origen desconocido, esta amenaza es famosa por sus persistentes campañas dirigidas a países como Rusia, Bielorrusia, Azerbaiyán, Turquía y Eslovenia.


Ataques de phishing con Cloud Atlas - La metodología


Las amenazas persistentes avanzadas (APT)
siguen planteando un desafío formidable en el panorama de la ciberseguridad. En diciembre de 2022, un informe conjunto de Check Point y Positive Technologies describió las secuencias de ataque en varias fases orquestadas por Cloud Atlas. La campaña llevó al despliegue de una puerta trasera basada en PowerShell conocida como PowerShower y cargas útiles DLL capaces de comunicarse con un servidor controlado por el actor de la amenaza.

El punto de entrada inicial del ciberespionaje de Cloud Atlas es un mensaje de phishing que contiene un documento señuelo que explota CVE-2017-11882, un fallo de corrupción de memoria de seis años de antigüedad en el Editor de ecuaciones de Microsoft Office. Este fallo pone en marcha la ejecución de cargas maliciosasuna técnica que Cloud Atlas ya empleó en octubre de 2018.


Suplantación de identidad por correo electrónico en entornos corporativos


A diferencia de muchos otros conjuntos de intrusión, Cloud Atlas se abstiene de usar implantes de código abierto en sus campañas recientes, con el objetivo de ser menos discernible. Kaspersky señaló en agosto de 2019 que las campañas masivas de spear-phishing del grupo utilizan persistentemente métodos simples pero eficaces para comprometer a sus objetivos.

F.A.C.C.T. describió la última kill chain como similar a la detallada por Positive Technologies, con la explotación exitosa de CVE-2017-11882 a través de la inyección de plantillas RTF allanando el camino para el shellcode. Este shellcode es responsable de descargar y ejecutar un archivo HTA ofuscado. En particular, los correos electrónicos maliciosos se originan en servicios de correo electrónico rusos populares como Yandex Mail y Mail.ru de VK.


Técnicas de pirateo de Cloud Atlas


Positive Technologies destacó la longevidad y la cuidadosa planificación de Cloud Atlas, subrayando que el conjunto de herramientas del grupo se ha mantenido constante durante años. El grupo emplea solicitudes de carga útil únicas y las valida, intentando ocultar su malware a los investigadores. 

Al aprovechar el almacenamiento legítimo en la nube y funciones de software bien documentadas, especialmente en Microsoft Office, Cloud Atlas elude la detección por parte de herramientas de ataque a redes y archivos. Esto pone de relieve la necesidad de que las organizaciones den prioridad a estrategias y tecnologías destinadas a proteger contra los ciberataques patrocinados por el Estado.


Una preocupación creciente


Esta revelación coincide con el reconocimiento de que al menos 20 organizaciones en Rusia han sido víctimas de Decoy Dog, una versión modificada de Pupy RAT. Este ataque se atribuye a un actor de amenazas persistentes avanzadas conocido como Hellhounds. El malware, mantenido activamente, permite el control remoto de los hosts infectados. Incluye un scriptlet diseñado para transmitir datos de telemetría a una cuenta "automatizada" en Mastodon con el nombre "Lamir Hasabat" (@lahat) en la instancia Mindly.Social.

Los investigadores de seguridad han destacado la continua evolución del malware para impedir su detección y análisis, tanto en el tráfico como en el sistema de archivos, tras la publicación de material sobre la versión inicial de Decoy Dog. Como ven, las ciberamenazas de las empresas rusas se han vuelto cada vez más sofisticadas, planteando un reto creciente a los esfuerzos de ciberseguridad.


Conclusión


El grupo Cloud Atlas APT
opera con un nivel de sofisticación que lo distingue en el mundo de las ciberamenazas. A medida que el panorama de la ciberseguridad sigue evolucionando, resulta imperativo mantenerse alerta frente a amenazas sofisticadas como Cloud Atlas. Las organizaciones deben priorizar las medidas proactivas de proactivas contra el phishingcomo parchear vulnerabilidades e implementar protocolos de seguridad robustos, para frustrar los avances de los ciberadversarios.

Frente a estas ciberamenazas emergentes, el uso de medidas sólidas de ciberseguridad es primordial. Las organizaciones necesitan reforzar su postura de ciberseguridad y fortalecer sus defensas contra amenazas en evolución como los ataques de phishing de ataques de phishing Cloud Atlas.

Las fuentes de este artículo incluyen artículos en The Hacker News y The Record.

Resumen
Ataques de phishing de Cloud Atlas: Cuidado con las empresas rusas
Nombre del artículo
Ataques de phishing de Cloud Atlas: Cuidado con las empresas rusas
Descripción
Proteja su organización de los ataques de phishing de Cloud Atlas. Obtenga información sobre ciberamenazas recientes dirigidas a empresas rusas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín