Специалисты «Лаборатории Касперского» обнаружили масштабную кампанию хакерской группировки Cloud Atlas, направленную против российских предприятий. Злоумышленники применяют новый вредоносный инструмент VBCloud, используя уязвимость в редакторе формул Microsoft Office.
По данным исследователей, в 2024 году зафиксировано несколько десятков успешных атак, причем 80% пострадавших организаций находятся на территории России. Остальные жертвы располагаются в Беларуси, Канаде, Молдавии, Израиле, Киргизии, Турции и Вьетнаме.
Механизм атаки начинается с рассылки фишинговых писем, содержащих документ-приманку. При открытии файла активируется уязвимость CVE-2018-0802, позволяющая загрузить вредоносный код с удаленного сервера злоумышленников.
«Хакеры используют многоступенчатую схему заражения, включающую несколько вредоносных программ — VBShower и PowerShower. Новый бэкдор VBCloud предназначен для сбора информации и хищения файлов с атакованных систем», — поясняют эксперты.
Анастасия Мельникова, директор по информационной безопасности компании SEQ, отмечает: «Использование старых уязвимостей указывает на то, что операторы кампании осведомлены о низком уровне обновления программного обеспечения в целевых организациях».
Группировка Cloud Atlas, известная также под именами Clean Ursa, Inception и Red October, ведет активную деятельность с 2014 года, концентрируясь на целях в Восточной Европе и Центральной Азии. Специалисты подчеркивают необходимость своевременного обновления программного обеспечения как ключевой меры защиты от подобных атак.
