A Cloud Atlas egy olyan támadóeszköz, amely már komoly múltra tekint vissza az iparágakat, kormányügynökségeket és más szervezeteket érő kiberkémkedési támadások terén. Először 2014-ben azonosították, és azóta is folyamatosan aktív. A Kaspersky kutatói nemrégiben a nemzetközi gazdasági és repülőgép-ipari szektorokat, valamint a kormányzati és vallási szervezeteket érintően észleltek Cloud Atlas támadásokat többek között Portugáliában, Romániában, Törökországban, Ukrajnában, Oroszországban, Türkmenisztánban, Afganisztánban és Kirgizisztánban. A sikeres behatolást követően a Cloud Atlas:
· információkat gyűjt a rendszerről, amelyhez hozzáférést szerzett;
· naplózza a jelszavakat;
· kivonja a legfrissebb .txt .pdf. xls és .doc fájlok adatait egy parancs- és vezérlőszerverre.
Bár a Cloud Atlas támadási taktikája 2018 óta nem változott jelentősen, az újabb támadási hullámokkal kapcsolatos kutatások feltárták, hogy a vírus újfajta módon kezdi fertőzni áldozatait, és oldalirányba mozog a hálózatukban.
Régebben a Cloud Atlas először küldött egy adathalász e-mailt egy rosszindulatú csatolmánnyal együtt a célgépre. Amennyiben sikeres volt az első támadás, a mellékelt rosszindulatú PowerShower program először felderítést végzett, majd újabb rosszindulatú modulokat töltött le és ezzel lehetővé tette, hogy a kibertámadók véghez vigyék a teljes műveletet.
A megújított fertőzési lánc egy későbbi szakaszra halasztja a PowerShower tevékenységet. A kezdeti fertőzés után most egy rosszindulatú HTML-alkalmazás töltődik le a célgépre és ott hajtja végre káros tevékenységét. Információkat gyűjt a megtámadott számítógépről, majd letölt és végrehajt egy másik rosszindulatú modult, a VBShowert. A VBShower törli a malware jelenlétének nyomait a rendszerből, majd parancs- és vezérlőszervereken keresztül konzultál a gazdáival a további teendőkről. A malware azután a kapott parancstól függően letölti és végrehajtja vagy a PowerShowert, vagy a Cloud Atlas egy másik jól ismert második szakaszbéli hátsó kapuját.
Bár ez az új fertőzési lánc általában véve jóval bonyolultabb a korábbi modellnél, a fő különbséget mégis a rosszindulatú HTML-alkalmazás és a VBShower modul polimorfikus volta jelenti. Ez annyit jelent, hogy a kód mindkét modulban minden egyes támadásnál új és egyedi lesz. A Kaspersky szakértői szerint a megújított verzió azért készült, hogy láthatatlanná tegye a malware-t az ismert behatolásra utaló jelekre (IoC) hagyatkozó biztonsági megoldások előtt.
"A biztonsági megoldásokat fejlesztő közösségen belül bevált gyakorlat a kutatások során felfedezett rosszindulatú behatolásra utaló jelek (IoC) egymással való megosztása. E gyakorlatnak köszönhetően elég gyorsan tudunk reagálni a folyamatosan jelentkező nemzetközi kiberkémkedési támadásokra, és megelőzhetjük az általuk okozott további károkat. Azonban, mint azt már 2016-ban is jeleztük, az IoC elavulttá vált, és már nem jelent megbízható eszközt a célzott támadások észleléséhez a hálózatban. Az első ilyen eset a ProjectSauron kapcsán merült fel, amikor is a rosszindulatú szoftver egyedi IoC-ket hozott létre minden egyes áldozat esetén, később pedig az lett a tendencia, hogy a kémkedési műveletekben nyílt forráskódú eszközöket használtak az egyediek helyett. A legújabb trendet pedig a nemrégiben észlelt polimorf malware képviseli. Ez nem azt jelenti, hogy a támadókat egyre nehezebb elkapni, hanem azt, hogy a biztonsági képességeknek és a védelmi eszközkészleteknek a lenyomozandó rosszindulatú támadók eszközkészletével és képességeivel párhuzamosan kell fejlődniük" - mondta Felix Aime, a Kaspersky Globális Kutató és Elemző Csapatának (GREAT) biztonsági kutatója.
A Kaspersky azt ajánlja a szervezeteknek, hogy használjanak a bűnözők által alkalmazott taktikákra, technikákra vagy tevékenységekre koncentráló támadásra utaló jelekkel (Indicators of Attack) bővített védő megoldásokat. Az IoA-k lenyomozzák az alkalmazott technikákat, bármilyen specifikus eszközöket használjanak is a támadók. A Kaspersky Endpoint Detection and Response, valamint a Kaspersky Anti Targeted Attack legújabb verziói már tartalmazzák az új IoA-adatbázist, amelyet a Kaspersky saját fenyegetésvadász szakemberei tartanak karban és frissítenek.
A Kaspersky további javaslatai szervezetek számára:
· Részesítsék digitális biztonsággal kapcsolatos oktatásban dolgozóikat és magyarázzák el nekik, hogy miként ismerhetik fel és kerülhetik el a rosszindulatú e-maileket vagy hivatkozásokat. Vegyék fontolóra egy célzott ismeretterjesztő képzés bevezetését a munkatársak számára.
· Használjanak spam- és adathalászat-blokkoló elemeket tartalmazó végpontvédelmi biztonsági megoldásokat, valamint alapértelmezett tiltási módra beállított alkalmazásvezérlő funkciót az illetéktelen alkalmazások futtatásának blokkolására - ilyen például a Kaspersky Endpoint Security for Business.
· Az incidensek elleni végpontszintű védelemhez, kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldást, mint például a Kaspersky Endpoint Detection and Response szoftver, mert ezzel még az ismeretlen banki malware-ek is leleplezhetők.
· Alkalmazzanak olyan nagyvállalati szintű biztonsági megoldást, amelyik már a korai szakaszban észleli a hálózatot érő fejlett fenyegetéseket, például a Kaspersky Anti Targeted Attack Platformot.
· Integrálják a fenyegetéselemzést a biztonsági információ- és eseménykezelő (SIEM) szolgáltatásaikba és biztonsági kontrolljaikba, hogy hozzáférhessenek a legrelevánsabb és legnaprakészebb fenyegetési adatokhoz.
A teljes jelentés a Securelist.com weblapon olvasható.
A Kasperskyről
A Kaspersky egy 1997-ben alapított globális kiberbiztonsági vállalat. A Kaspersky internetes fenyegetésekkel kapcsolatos tudását és biztonsági szakértelmét folyamatosan innovatív biztonsági megoldások és szolgáltatások fejlesztésére használja, hogy védelmet kínáljon vállalkozások, a kritikus infrastruktúra, a kormányok és a fogyasztók számára világszerte. A vállalat széleskörű biztonsági portfóliójába vezető végpont védelmi és számos speciális biztonsági megoldás és szolgáltatás tartozik, az összetett és fejlődő digitális veszélyekkel elleni küzdelem érdekében. Több mint 400 millió felhasználót védenek a Kaspersky technológiái, valamint 270.000 vállalati ügyfélnek segítenek megóvni azt, ami a legfontosabb számukra. További információ: www.kaspersky.com