Cloud Atlas 高级可持续性威胁利用多态恶意软件升级其武器库

Cloud Atlas是一种高级可持续性威胁（APT），又被称为Inception。这种威胁利用新的工具升级了其武器库，从而让它可以避免通过标准的感染迹象被检测到。这种升级了的感染链已经在野外被发现，活动范围在东欧、中亚和俄罗斯的不同组织中。

Cloud Atlas是一个拥有较长历史针对各个行业、政府机构和其他实体实施网络间谍攻击行动的威胁组织。它与2014年首次被发现，之后一直保持活跃状态。最近，卡巴斯基研究人员发现Cloud Atlas针对国际经济和航空航天行业以及葡萄牙、罗马尼亚、土耳其、乌克兰、俄罗斯、土库曼斯坦、阿富汗、吉尔吉斯坦等国家的政府和宗教组织发动攻击。

成功入侵后，Cloud Atlas会：

· 从获取到访问权的系统上收集信息

· 记录密码

· 窃取最近的 .txt、.pdf、.xls和.doc文件，并将其上传到命令和控制服务器。

虽然自2018年以来，Cloud Atlas并未大幅改变其策略，但通过研究最近几波的攻击，研究人员发现这种威胁开始使用一种新颖的方式来感染受害者，并通过他们的网络进行横向移动。

之前，Cloud Atlas会向目标发送一封包含恶意附件的鱼叉式钓鱼邮件。如果攻击成功，用于初始侦察并下载其他恶意模块的附加恶意软件PowerShower将被执行，从而让攻击者可以继续进行操作。

最新更新的感染链会将PowerShower的执行推迟到稍后阶段；在完成初始感染后，会在目标计算机上下载和执行一个恶意HTML应用程序。该应用程序会收集被攻击计算机的初始信息，然后下载和执行另一款被称为VBShower的恶意模块。之后，VBShower 会清除系统中存在恶意软件的证据，并通过命令和控制服务器与攻击者联系，以决定进一步的行动。根据收到的命令，恶意软件会下载并执行PowerShower或其他著名的Cloud Atlas第二阶段后门程序。

虽然这种新的感染链整体上比以前的模型复杂得多，但它的主要区别在于恶意HTML应用程序和VBShower模块是多态的。这意味着每次感染，这两个模块中的代码都是新的和独一无二的。卡巴斯基专家表示，更新版本的目的是为了让依赖熟知感染迹象的安全解决方案无法检测出这种威胁。

卡巴斯基全球研究和分析团队安全研究员Felix Aime说“在安全社区中分享我们通过研究发现的恶意攻击的感染迹象是一种很好的做法。这种做法能够让我们非常迅速地对正在进行的国际网络间谍攻击行动做出相应，避免这些威胁造成进一步危害。但是，正如我们早在2016年预测的那样，作为一种识别网络中针对性攻击的可靠工具，感染迹象（IoC）已经过时。这种现象在首次在ProjectSauron攻击中出现，该威胁组织会为每个受害者制作一个独特的感染迹象，并开启了在间谍活动中使用开源工具而不是独特工具的趋势。这一趋势在最近的多态恶意软件样本中得到了体现。这并非意味着攻击者变得更难被抓到，而是表明安全技术以及防御者的工具也需要随着他们所追踪的恶意攻击者的工具和技术而演化。”

卡巴斯基建议企业和组织使用具有增强的识别攻击迹象(IoA)能力的反针对性攻击解决方案，该技术侧重于识别恶意攻击者在准备攻击时所使用的策略、技巧或行动。攻击迹象（IoA）能够追踪攻击者所部署的技巧，无论他们使用哪种特定的工具。最新版的卡巴斯基端点保护和响应以及卡巴斯基反针对性攻击都具有新的IoAs数据库，由卡巴斯基自己的专家威胁追踪者维护和更新。

卡巴斯基给企业和组织的其他建议还包括：

· 对员工进行数字卫生培训，向他们解释如何识别和避免潜在恶意的电子邮件或链接。考虑为员工引入专门的安全意识培训

· 使用配备反垃圾邮件和反网络钓鱼组件的端点安全解决方案，以及具有默认拒绝模式的应用程序控制功能，以阻止未经授权的应用程序的执行，例如卡巴斯基网络安全解决方案

· 为了实现端点级别的检测、调查和及时的事故修复，请部署EDR解决方案来拦截甚至是未知的网银恶意软件，例如卡巴斯基端点检测和响应

· 部署能够在早期阶段在网络检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台

· 将威胁情报集成到您的安全信息和事件管理（SIEM）服务和安全控制中，以便获取最相关和最新的威胁数据。

来源：牛华网