Известная группировка Cloud Atlas совершила успешную атаку на одно из федеральных госучреждений при помощи фишинговых писем, которые кто-то из персонала открывал с одного и того же устройства пять раз. Об этом «Известиям» рассказали в центре исследований киберугроз Solar 4RAYS группы компаний «Солар».
Первым этапом злоумышленники отправили потенциальной жертве на электронную почту документ «О сотрудничестве.doc». Согласно истории браузера, сотрудник организации скачал данный файл в апреле 2024 года, а затем сразу же его открыл.
В фишинговых компаниях Cloud Atlas вредоносный документ при открытии загружает удаленный шаблон с сервера атакующих. Шаблон эксплуатирует старую уязвимость в компоненте Equation Editor офисного пакета Microsoft Office, которая позволяет произвести запуск вредоносного кода. После чего происходит загрузка вредоносного файла VBShower, который используется Cloud Atlas для реализации атак.
Все последующие фишинговые письма под темами «Новосибирский завод бытовой химии», «Бюджет на 2025 год» и «Оптимизация товарооборота» пользователь также открывал и запускал. Каждое из них работало по одному и тому же сценарию: скачивание удаленного шаблона, эксплуатация уязвимости, однако следов активности хакеров в системе не сохранилось.
Последнее письмо содержало очередное рекламное предложение о сотрудничестве и описание строительной компании Stramed. Вредоносный документ сработал как часы и загрузил VBShower на систему. Однако в этот раз они решили продвинуться дальше и с помощью VBShower загрузили другую вредоносную программу — VBCloud. Но запустить ее им не удалось из-за антивируса.
Подробнее читайте в эксклюзивном материале «Известий»: