解讀：網絡間諜組織Cloud Atlas插手俄烏沖突

根據Check Point（全球頂尖Internet 安全解決方案供應商）研究表明，自俄烏沖突爆發以來，網絡間諜組織Cloud Atlas加大了針對俄羅斯、白俄羅斯以及烏克蘭和摩爾多瓦爭議地區的活動。

該組織自2014年以來一直活躍，但自俄烏沖突爆發以來，它主要襲擊了俄羅斯、白俄羅斯、德涅斯特河沿岸（摩爾多瓦的一個親克里姆林宮的分離地區）以及俄羅斯占領的烏克蘭領土，包括克里米亞、盧甘斯克和頓涅茨克。

據Positive Technologies（俄羅斯網絡安全公司）的研究人員稱，該組織的目標是間諜活動和竊取機密信息。目前暫不清楚誰是該組織的幕后黑手。

Check Point稱，Cloud Atlas一直堅持其“簡單但有效”的方法，這些方法并沒有隨著時間的推移而改變。該組織使用所謂的模板注入攻擊，濫用Microsoft Word中的功能，向受害者發送惡意負載。這些文檔通常是為特定目標而制作的，這使得它們幾乎無法檢測。

有證據表明，該組織在6月份對俄語組織進行了多次成功的入侵，而這些入侵是在攻擊者已經完全訪問了整個網絡（包括域控制器）之后才被發現的。

Cloud Atlas如何攻擊

根據Check Point的說法，在俄烏沖突之前，Cloud Atlas主要針對亞洲和歐洲的部委、外交實體和工業設施。Positive Technologies發現，其目標還包括阿塞拜疆、土耳其和斯洛文尼亞的政府機構。

Cloud Atlas通常使用帶有惡意附件的網絡釣魚電子郵件來獲得對受害者計算機的初始訪問。這些文件精心制作，以模仿政府聲明、媒體文章、商業建議或廣告。

Positive Technologies稱，.DOC格式可能不會被防病毒軟件標記為惡意，因為文檔本身只包含一個帶有漏洞的模板鏈接。打開文檔時，將自動從遠程服務器下載此模板。

針對白俄羅斯實體的釣魚信示例（圖片：檢查點）

黑客大多使用Yandex、Mail.ru、Outlook.com等公共電子郵件服務，但有時他們會欺騙受害者可能信任的其他組織的現有域。例如，在最近的一次攻擊中，黑客偽裝成代表俄羅斯著名新聞媒體Lenta.ru寫作。

確定的攻擊鏈流程圖（圖：積極技術）

大多數釣魚信都與目標國家當前的地緣政治問題有關。例如，今年3月和4月，Cloud Atlas將目標對準了德涅斯特河沿岸地區，因為擔心俄羅斯會試圖擴大對該地區的控制，從西方襲擊烏克蘭。

在白俄羅斯，Cloud Atlas主要針對交通和軍用無線電電子行業，在俄羅斯，它專注于政府部門和能源設施。

2019年被Cloud Atlas冊列為目標國家（圖片：SECURELIST）

攻擊者通過將目標列入白名單來嚴密控制誰可以訪問他們的惡意附件。根據Check Point的說法，為了收集受害者的IP信息，Cloud Atlas首先向他們發送了偵察文件，其中除了對受害者進行指紋識別外，不包含任何惡意文件。

Positive Technologies的研究人員注意到，沒有任何關于接受者的公開信息，“這可能表明襲擊準備充分。”

研究人員說：“我們預測，該小組將繼續運作，因為它再次引起了關注，從而增加了其工具和攻擊技術的復雜性。”