Эксперты Positive Technologies предотвратили новую волну кибератак на предприятия ОПК

Эксперты Positive Technologies обнаружили начало новой киберкампании APT-группировки Cloud Atlas, нацеленной на предприятия российского оборонно-промышленного комплекса (ОПК). Анализ инфраструктуры хакеров позволил своевременно пресечь вредоносную активность и предупредить организации о надвигающейся угрозе.

Наблюдение за активностью злоумышленников началось в конце 2024 года, когда были зафиксированы фишинговые письма с вредоносными вложениями, замаскированными под официальные документы, такие как приглашения на курсы повышения квалификации и акты сверки. Все малверы содержали типичные для Cloud Atlas методы сокрытия данных об их управляющей инфраструктуре.

Особое внимание аналитиков привлек документ, отправленный в адрес опытно-конструкторского подразделения одной из организаций ОПК в конце января. Было зафиксировано, что документ был отправлен с нового управляющего сервера, что позволило оперативно установить мониторинг новой вредоносной инфраструктуры в реальном времени.

В феврале 2025 года исследователи зарегистрировали несколько новых TLS-сертификатов, что указывает на готовность злоумышленников к дальшейшим атакам. Специалисты Positive Technologies также отметили, что скомпрометированные электронные адреса ранее атакованных организаций использовались для рассылки вредоносных писем, а многие документы могли быть украдены из их сетей.

Виктор Казаков, ведущий специалист группы киберразведки PT ESC TI, подчеркнул опасность данного метода атаки, так как обнаруженные вредоносные документы не детектировались классическими средствами антивирусной защиты. Пользователям рекомендовано быть внимательными к подозрительным письмам и проверять их отправителей, а также не открывать вложения с нестандартными иконками.

]]>