解读：网络间谍组织Cloud Atlas插手俄乌冲突

根据Check Point（全球顶尖Internet 安全解决方案供应商）研究表明，自俄乌冲突爆发以来，网络间谍组织Cloud Atlas加大了针对俄罗斯、白俄罗斯以及乌克兰和摩尔多瓦争议地区的活动。

该组织自2014年以来一直活跃，但自俄乌冲突爆发以来，它主要袭击了俄罗斯、白俄罗斯、德涅斯特河沿岸（摩尔多瓦的一个亲克里姆林宫的分离地区）以及俄罗斯占领的乌克兰领土，包括克里米亚、卢甘斯克和顿涅茨克。

据Positive Technologies（俄罗斯网络安全公司）的研究人员称，该组织的目标是间谍活动和窃取机密信息。目前暂不清楚谁是该组织的幕后黑手。

Check Point称，Cloud Atlas一直坚持其“简单但有效”的方法，这些方法并没有随着时间的推移而改变。该组织使用所谓的模板注入攻击，滥用Microsoft Word中的功能，向受害者发送恶意负载。这些文档通常是为特定目标而制作的，这使得它们几乎无法检测。

有证据表明，该组织在6月份对俄语组织进行了多次成功的入侵，而这些入侵是在攻击者已经完全访问了整个网络（包括域控制器）之后才被发现的。

Cloud Atlas如何攻击

根据Check Point的说法，在俄乌冲突之前，Cloud Atlas主要针对亚洲和欧洲的部委、外交实体和工业设施。Positive Technologies发现，其目标还包括阿塞拜疆、土耳其和斯洛文尼亚的政府机构。

Cloud Atlas通常使用带有恶意附件的网络钓鱼电子邮件来获得对受害者计算机的初始访问。这些文件精心制作，以模仿政府声明、媒体文章、商业建议或广告。

Positive Technologies称，.DOC格式可能不会被防病毒软件标记为恶意，因为文档本身只包含一个带有漏洞的模板链接。打开文档时，将自动从远程服务器下载此模板。

针对白俄罗斯实体的钓鱼信示例（图片：检查点）

黑客大多使用Yandex、Mail.ru、Outlook.com等公共电子邮件服务，但有时他们会欺骗受害者可能信任的其他组织的现有域。例如，在最近的一次攻击中，黑客伪装成代表俄罗斯著名新闻媒体Lenta.ru写作。

确定的攻击链流程图（图：积极技术）

大多数钓鱼信都与目标国家当前的地缘政治问题有关。例如，今年3月和4月，Cloud Atlas将目标对准了德涅斯特河沿岸地区，因为担心俄罗斯会试图扩大对该地区的控制，从西方袭击乌克兰。

在白俄罗斯，Cloud Atlas主要针对交通和军用无线电电子行业，在俄罗斯，它专注于政府部门和能源设施。

2019年被Cloud Atlas册列为目标国家（图片：SECURELIST）

攻击者通过将目标列入白名单来严密控制谁可以访问他们的恶意附件。根据Check Point的说法，为了收集受害者的IP信息，Cloud Atlas首先向他们发送了侦察文件，其中除了对受害者进行指纹识别外，不包含任何恶意文件。

Positive Technologies的研究人员注意到，没有任何关于接受者的公开信息，“这可能表明袭击准备充分。”

研究人员说：“我们预测，该小组将继续运作，因为它再次引起了关注，从而增加了其工具和攻击技术的复杂性。”