การโจมตีแบบ Spear-Phishing ของกลุ่ม Cloud Atlas มุ่งเป้าไปที่บริษัทด้านการเกษตรและการวิจัยของรัสเซีย

543/66 (IT) ประจำวันอังคารที่ 26 ธันวาคม 2566

กลุ่มคุกคามที่เรียกว่า Cloud Atlas เชื่อมโยงกับรูปแบบการโจมตีแบบ Spear-Phishing ต่อองค์กรในประเทศรัสเซีย โดยมีเป้าหมายเป็นองค์กรอุตสาหกรรมด้านการเกษตร และบริษัทด้านการวิจัยของประเทศรัสเซีย

โดยกลุ่มภัยคุกคาม Cloud Atlas ซึ่งเปิดใช้งานตั้งแต่ปี 2014 เป็นกลุ่มจารกรรมทางไซเบอร์ที่ไม่ทราบที่มา โดยเรียกอีกอย่างว่า Clean Ursa, Inception, Oxygen และ Red October ซึ่งเป็นผู้คุกคามที่สร้างชื่อมาจากแคมเปญที่มุ่งเป้าโจมตีไปที่รัสเซีย เบลารุส อาเซอร์ไบจาน ตุรกี และสโลวีเนีย กลุ่ม Cloud Atlas ดำเนินงานมาหลายปีแล้ว พวกเขาพยายามซ่อนมัลแวร์จากนักวิจัยโดยใช้คำขอเพย์โหลดแบบครั้งเดียวและหลีกเลี่ยงเครื่องมือตรวจจับการโจมตีเครือข่ายและไฟล์โดยใช้ที่เก็บข้อมูลบนคลาวด์ที่ถูกกฎหมายและคุณสมบัติซอฟต์แวร์ที่ได้รับการบันทึกไว้อย่างดี โดยเฉพาะใน Microsoft Office     

จุดเริ่มต้นคือข้อความ Phishing ที่ใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 ซึ่งเป็นข้อบกพร่องของหน่วยความจำใน Equation Editor ของ Microsoft Office เพื่อเริ่มดำเนินการเพย์โหลดที่เป็นอันตราย ซึ่งเป็นเทคนิคที่ Cloud Atlas ใช้ในเดือนตุลาคม 2561 ซึ่งการดำเนินการดังกล่าวเกิดขึ้นในขณะที่องค์กรอย่างน้อย 20 แห่ง ในรัสเซียถูกโจมตีโดยใช้ Decoy Dog ซึ่งเป็นเวอร์ชันดัดแปลงของ Pupy RAT โดยอ้างว่าเป็นภัยคุกคามขั้นสูงที่เรียกว่า Hellhounds หลังจากเผยแพร่เนื้อหาเกี่ยวกับ Decoy Dog เวอร์ชันแรก แล้วผู้พัฒนามัลแวร์ก็ใช้ความพยายามอย่างมากในการหลบเลี่ยงการตรวจจับและการวิเคราะห์ทั้งในการรับส่งข้อมูลและในระบบไฟล์

แหล่งข่าว https://thehackernews.com/2023/12/cloud-atlas-spear-phishing-attacks.html