Сотрудник госучреждения пять раз открыл фишинговые письма
3 мин
31
2
Специалисты из Группы компаний «Солар» расследовали атаку группировки Cloud Atlas на федеральное госучреждение России, один из сотрудников которого открывал фишинговые письма пять раз подряд. Как рассказали изданию «Киберболоид» в пресс-службе компании, с таким упорством жертвы за многолетний опыт расследований эксперты столкнулись впервые. В блоге ГК «Солар» опубликованы индикаторы компрометации, которые помогают обнаружить деятельность группировки Cloud Atlas в инфраструктуре организации.
Cloud Atlas — это APT-группировка, которая специализируется на шпионских операциях по всему миру. Хакеры атакуют государственные учреждения разных стран как минимум с 2014 года. Для первоначального проникновения в инфраструктуру используют фишинговые кампании с вредоносными вложениями в формате документов Microsoft Office.
На первом этапе атакующие отправили потенциальной жертве документ «О сотрудничестве.doc». Судя по истории браузера, сотрудник скачал файл в апреле 2024 года и сразу же открыл. В фишинговых кампаниях Cloud Atlas вредоносный документ при открытии загружает удалённый шаблон с сервера атакующих. Шаблон эксплуатирует старую уязвимость в компоненте Equation Editor офисного пакета Microsoft Office. Это позволяет запустить вредоносный код. Затем происходит загрузка файла VBShower, который Cloud Atlas использует для реализации атак.
Пользователь открывал и запускал все последующие фишинговые письма. Темы были разные: «Новосибирский завод бытовой химии», «Бюджет на 2025 год» и «Оптимизация товарооборота». Каждое работало по одному сценарию: скачивание удалённого шаблона, эксплуатация уязвимости. При этом следов активности хакеров на системе не осталось.
Последнее письмо содержало рекламное предложение о сотрудничестве и описание строительной компании Stramed. Вредоносный документ загрузил VBShower в систему. В этот раз злоумышленники решили продвинуться дальше и с помощью VBShower загрузили другой вредонос — VBCloud. Но запустить его помешал антивирус, а также сработала система мониторинга. После инцидента госучреждение запросило расследование у ГК «Солар».
Как подчеркнули эксперты, описанный пример показывает необходимость постоянного обучения сотрудников правилам кибергигиены. Для защиты от подобных атак в ГК «Солар» порекомендовали организациям внедрять сервисы по повышению киберграмотности персонала, а также устанавливать средства защиты устройств пользователей.
