Исследователи выявили масштабную кибершпионскую операцию под названием SkyCloak, нацеленную на предприятия оборонного комплекса России и Беларуси.
По данным анализа, злоумышленники использовали вредоносные компоненты для проникновения в корпоративные сети через облачную инфраструктуру и системы контейнеризации, маскируя активность под легитимные процессы Kubernetes.
Главная особенность SkyCloak - многоступенчатая структура. Первое звено атак - компрометация серверов с открытым доступом или уязвимыми API-интерфейсами.
После внедрения первичного модуля малварь незаметно разворачивает дополнительные компоненты в контейнерах, создавая устойчивую инфраструктуру управления и скрытой передачи данных. Дальнейшие этапы включают сбор технической информации о внутренних сетях, выгрузку файлов и мониторинг активности сотрудников.
По данным экспертов, SkyCloak ориентирован не на массовое заражение, а на точечное проникновение в высокозащищённые системы. Используемые техники включают минимизацию следов, шифрование трафика и использование легитимных сервисов для командно-контрольного взаимодействия. Это делает кампанию близкой по уровню сложности к операциям государственных APT-групп.
Аналитики отмечают, что инфраструктура атак географически сосредоточена в Восточной Европе, при этом зафиксированы попытки доступа к внутренним сетям предприятий, связанных с военным производством и научно-техническими разработками.
Расследование указывает, что SkyCloak может действовать как часть более широкой разведывательной операции с интересом к оборонным технологиям и цепочкам поставок.
По данным анализа, злоумышленники использовали вредоносные компоненты для проникновения в корпоративные сети через облачную инфраструктуру и системы контейнеризации, маскируя активность под легитимные процессы Kubernetes.
Главная особенность SkyCloak - многоступенчатая структура. Первое звено атак - компрометация серверов с открытым доступом или уязвимыми API-интерфейсами.
После внедрения первичного модуля малварь незаметно разворачивает дополнительные компоненты в контейнерах, создавая устойчивую инфраструктуру управления и скрытой передачи данных. Дальнейшие этапы включают сбор технической информации о внутренних сетях, выгрузку файлов и мониторинг активности сотрудников.
По данным экспертов, SkyCloak ориентирован не на массовое заражение, а на точечное проникновение в высокозащищённые системы. Используемые техники включают минимизацию следов, шифрование трафика и использование легитимных сервисов для командно-контрольного взаимодействия. Это делает кампанию близкой по уровню сложности к операциям государственных APT-групп.
Аналитики отмечают, что инфраструктура атак географически сосредоточена в Восточной Европе, при этом зафиксированы попытки доступа к внутренним сетям предприятий, связанных с военным производством и научно-техническими разработками.
Расследование указывает, что SkyCloak может действовать как часть более широкой разведывательной операции с интересом к оборонным технологиям и цепочкам поставок.
