Attaques d'hameçonnage de Cloud Atlas : Les entreprises russes se méfient
Le paysage des menaces de cybersécurité 2024 présente des défis sans précédent, nécessitant une approche proactive et adaptative pour protéger les écosystèmes numériques. Cela nous amène à évoquer un récent incident de cyberespionnage. Le célèbre groupe de pirates informatiques identifié sous le nom de Cloud Atlas a jeté son dévolu sur une entreprise agro-industrielle russe et une société de recherche publique. Ces découvertes mettent en lumière une nouvelle vague d attaques par spear-phishingLes attaques de phishing de attaques de phishing de Cloud Atlas qui touchent rapidement les organisations russes.
Un acteur prolifique de la menace
Cloud Atlas Les attaques de phishing contre les organisations russes ont plus que jamais gagné en complexité et en fréquence. Cloud Atlas, également connu sous des pseudonymes tels que Clean Ursa, Inception, Oxygen et Red October, est un groupe de cyberespionnage actif depuis au moins 2014. D'origine inconnue, cet acteur de la menace est tristement célèbre pour ses campagnes persistantes ciblant des pays comme la Russie, la Biélorussie, l'Azerbaïdjan, la Turquie et la Slovénie.
Attaques d'hameçonnage de l'Atlas du nuage - La méthodologie
Les menaces persistantes avancées (APT) continuent de poser un défi redoutable dans le paysage de la cybersécurité. En décembre 2022, un rapport conjoint de Check Point et Positive Technologies a décrit les séquences d'attaques en plusieurs étapes orchestrées par Cloud Atlas. La campagne a conduit au déploiement d'une porte dérobée basée sur PowerShell, connue sous le nom de PowerShower, et de charges utiles DLL capables de communiquer avec un serveur contrôlé par l'acteur de la menace.
Le point d'entrée initial du programme de cyberespionnage cyberespionnage Cloud Atlas est un message de phishing contenant un document leurre exploitant CVE-2017-11882, une faille de corruption de mémoire vieille de six ans dans l'éditeur d'équations de Microsoft Office. Cette faille donne le coup d'envoi à l'exécution de charges utiles malveillantesCloud Atlas a utilisé cette technique dès le mois d'octobre 2018.
L'hameçonnage par courrier électronique dans les entreprises
Contrairement à de nombreux autres ensembles d'intrusion, Cloud Atlas s'abstient d'utiliser des implants open-source dans ses récentes campagnes, visant à être moins discernable. Kaspersky a noté en août 2019 que les campagnes massives de spear-phishing du groupe utilisent constamment des méthodes simples mais efficaces pour compromettre ses cibles.
F.A.C.C.T. a décrit la dernière chaîne d'exécution comme étant similaire à celle décrite par Positive Technologies, avec l'exploitation réussie de la CVE-2017-11882 via l'injection d'un modèle RTF, ouvrant la voie à un shellcode. Ce shellcode est responsable du téléchargement et de l'exécution d'un fichier HTA obscurci. Les courriels malveillants proviennent notamment de services de messagerie russes populaires tels que Yandex Mail et Mail.ru de VK.
Techniques de piratage de Cloud Atlas
Positive Technologies a souligné la longévité et la planification minutieuse de Cloud Atlas, en insistant sur le fait que la boîte à outils du groupe est restée la même depuis des années. Le groupe utilise des demandes de charge utile uniques et les valide, tentant ainsi de dissimuler ses logiciels malveillants aux yeux des chercheurs.
En tirant parti d'un stockage en nuage légitime et de fonctions logicielles bien documentées, en particulier dans Microsoft Office, Cloud Atlas échappe à la détection par les outils d'attaque des réseaux et des fichiers. Cela souligne la nécessité pour les organisations de donner la priorité aux stratégies et aux technologies visant à se protéger contre les cyberattaques parrainées par des États.
Une préoccupation croissante
Cette révélation coïncide avec la reconnaissance qu'au moins 20 organisations en Russie ont été victimes de Decoy Dog, une version modifiée de Pupy RAT. Cette compromission est attribuée à un acteur de menace persistante avancée connu sous le nom de Hellhounds. Ce logiciel malveillant activement entretenu permet de prendre le contrôle à distance des hôtes infectés. Il comprend un scriptlet conçu pour transmettre des données télémétriques à un compte "automatisé" sur Mastodon au nom de "Lamir Hasabat" (@lahat) sur l'instance Mindly.Social.
Les chercheurs en sécurité ont mis en évidence l'évolution constante du logiciel malveillant pour empêcher la détection et l'analyse, à la fois dans le trafic et dans le système de fichiers, à la suite de la publication de documents sur la version initiale de Decoy Dog. Comme vous le voyez, les cybermenaces des entreprises russes sont devenues de plus en plus sophistiquées, posant un défi croissant aux efforts de cybersécurité.
Conclusion
Le groupe APT Cloud Atlas opère avec un niveau de sophistication qui le distingue dans le monde des cybermenaces. Alors que le paysage de la cybersécurité continue d'évoluer, il est impératif de rester vigilant face à des menaces sophistiquées comme Cloud Atlas. Les organisations doivent donner la priorité aux mesures de cybersécurité proactives contre l'hameçonnageLes organisations doivent privilégier des mesures de cybersécurité proactives contre le phishing, telles que la correction des vulnérabilités et la mise en œuvre de protocoles de sécurité robustes, afin de contrecarrer les avancées des cyberadversaires.
Face à ces cybermenaces émergentes, l'utilisation de mesures de cybersécurité robustes est primordiale. Les organisations doivent renforcer leur position en matière de cybersécurité et consolider leurs défenses contre des menaces en constante évolution telles que les attaques de phishing de attaques de phishing Cloud Atlas.
Les sources de cet article comprennent des articles dans The Hacker News et The Record.