Napredna uporna pretnja (APT) Cloud Atlas, poznatija i kao Inception, nadogradila je svoj arsenal napada novim alatima koji joj omogućavaju da ostane nezapažena i kroz standardne indikatore kompromitovanja (Indicators of Compromise). Ovaj ažurirani lanac infekcije uočen je u različitim organizacijama u Istočnoj Evropi, Centralnoj Aziji i Rusiji.
Cloud Atlas je akter pretnje sa dugom istorijom sajber špijunažnih operacija koje ciljaju industrije, vladine agencije i druge subjekte. Prvi put je identifikovan 2014. godine i od tada je aktivan. Istraživači kompanije Kaspersky nedavno su otkrili da je Cloud Atlas targetirao međunarodnu ekonomsku i vazduhoplovnu industriju, kao i vladine i verske organizacije u Portugalu, Rumuniji, Turskoj, Ukrajini, Rusiji, Turkmenistanu, Avganistanu i Kirgistanu između ostalih. Nakon uspešne infiltracije, Cloud Atlas obavlja sledeće akcije:
• prikuplja informacije o sistemu kojem je stekao pristup
• evidentira lozinke
• filtrira nedavne .txt .pdf. xls .doc datoteke na komandni i kontrolni server.
Iako Cloud Atlas nije drastično promenio taktiku, od 2018. godine, istraživanje je pokazalo da su nedavno otkriveni napadi počeli da primenjuju nov način inficiranja žrtava i da vrše bočno kretanje kroz njihovu mrežu.
Slika 1: Lanac infekcije koji je Cloud Atlas koristio pre aprila 2019.
Cloud Atlas bi ranije prvo poslao fišing e-mail sa zlonamernim prilogom žrtvi. U slučaju uspešne eksploatacije, PowerShower – priloženi malver koji se koristi za početno izviđanje i preuzimanje dodatnih zlonamernih modula – bi bio aktiviran kako bi sajber napadačima omogućio da nastave sa operacijom.
Nedavno ažurirani lanac infekcije odlaže izvršenje PowerShower malvera do kasnije faze; umesto toga, nakon početne infekcije, sada se preuzima i izvršava zlonamerna HTML aplikacija na targetiranom uređaju. Ova aplikacija zatim prikuplja početne informacije o napadnutom računaru i preuzima i izvršava VBShower – još jedan zlonamerni modul. VBShower zatim briše dokaze o postojanju zlonamernog softvera u sistemu i savetuje se sa njegovim upravljačima preko komandnih i kontrolnih servera kako bi odredili dalje akcije. U zavisnosti od primljene komande, ovaj malver će zatim preuzeti i izvršiti PowerShower ili drugi dobro poznati bekdor druge faze Cloud Atlasa.
Slika 2: Ažurirani lanac infekcije Cloud Atlasa
Iako je ovaj novi lanac infekcije generalno mnogo komplikovaniji od prethodnog modela, njegov glavni diferencijator je činjenica da su zlonamerni HTML aplikacija i VBShower modul polimorfni. To znači da će kod oba modula biti nov i jedinstven u svakom slučaju infekcije. Prema mišljenju stručnjaka kompanije Kaspersky, ova ažurirana verzija izvedena je kako bi se malver učinio nevidljivim za bezbednosna rešenja koja se oslanjaju na poznate indikatore kompromitovanja.
„Deljenje indikatora kompromitovanja (Indicators of Compromise – IoC) malicioznih operacija koje pronalazimo prilikom istraživanja postalo je dobra praksa u bezbednosnoj zajednici. Ovakva praksa omogućava nam da brzo reagujemo na međunarodne operacije sajber špijunaže sprečavajući dalju štetu. Međutim, kao što smo i predvideli već 2016. godine, IoC zastareva kao pouzdan alat za prepoznavanje ciljanog napada u vašoj mreži. Ovo se prvi put pojavilo sa projektom Sauron, koji bi stvorio jedinstveni skup IoC-a za svaku od njegovih žrtava i nastavio sa trendom korišćenja alata otvorenog koda u operacijama špijunaže umesto jedinstvenih alata. Ovo se sada nastavlja sa nedavnim primerom polimorfnog malvera. To ne znači da je aktere teže uhvatiti, već da se bezbednosne veštine i alati koje koristimo moraju razvijati zajedno sa alatima i veštinama zlonamernih aktera“, izjavio je Feliks Aime (Felix Aime), istraživač bezbednosti u GReAT timu kompanije Kaspersky.
Kompanija Kaspersky preporučuje organizacijama da koriste rešenja protiv ciljanih napada unapređena sa indikatorima napada (IoA) koji se fokusiraju na taktike, tehnike ili radnje koje prevaranti mogu preduzeti prilikom pripreme za napad. Indikatori napada prate primenjene tehnike bez obzira na to koji se konkretni alati koriste. Najnovije verzije rešenja Kaspersky Endpoint Detection and Response i Kaspersky Anti Targeted Attack sadrže novu bazu podataka indikatora napada, koje održavaju i ažuriraju eksperti kompanije Kaspersky.
The latest versions of Kaspersky EDR and Kaspersky Anti Targeted Attack offer new features that simplify the investigation process and enhance threat hunting
The latest versions of Kaspersky EDR and Kaspersky Anti Targeted Attack offer new features that simplify the investigation process and enhance threat hunting
Kompanija Kaspersky organizacijama preporučuje i da:
• Edukuju svoje zaposlene o značaju sajber bezbednosti i da im objasne kako da prepoznaju i izbegnu potencijalno maliciozne linkove i mejlove. Uvedite obuku za zaposlene koja će podizati svest o bezbednosti,
• Koristite bezbednosno rešenje krajnje tačke kao što je Kaspersky Endpoint Security for Business koje je opremljeno komponentama protiv neželjene pošte i fišinga, kao i funkciju kontrole aplikacija sa podrazumevanim režimom zabrane da blokirate izvršavanje neovlašćenih aplikacija.
• Za detekciju krajnjeg nivoa, istraživanje i pravovremeno otklanjanje incidenata, koristite EDR rešenja kao što je Kaspersky Endpoint Detection and Response. Ovo rešenje može uočiti čak i nepoznati bankarski malver.
• Primenite korporativno bezbednosno rešenje koje detektuje napredne pretnje na mreži u ranoj fazi, kao što je Kaspersky Anti Targeted Attack Platform
• Integrišite rešenje Threat Intelligence u SIEM (upravljanje bezbednosnim infrormacijama i događajima) i druge bezbednosne kontrole kako biste dobili pristup najrelevantnijim i najnovijim podacima o pretnjama.