Группа Cloud Atlas APT в последнее время активизировала свои кибератаки, нацеливаясь на российские сети государственного сектора и предприятия военно-промышленного комплекса. Этот факт настораживает экспертов в области кибербезопасности, так как методы атаки становятся всё более изощренными.
Сложные методы атаки
Cloud Atlas использует ряд сложных методов, среди которых:
- Создание собственных вредоносных файлов на основе украденных шаблонов Microsoft Office, что позволяет избежать обнаружения;
- Удаление метаданных из документов для сокрытия их происхождения;
- Использование скомпрометированных учетных записей электронной почты для атак на коммерческую электронную почту (BEC).
Недавние инциденты
В ноябре 2024 года российское правительственное учреждение привлекло группу реагирования на инциденты для устранения кибератаки, в результате которой была выявлена вредоносная инфраструктура Cloud Atlas. Средства киберразведки зафиксировали активную атаку, которая инициировалась через вредоносный документ, подключавшийся к командному центру группы.
Такое время для атаки, произошедшей в конце рабочей недели, вероятно, было выбрано с целью использования периодов снижения бдительности сотрудников, что обеспечивало злоумышленникам беспрепятственный доступ в выходные дни.
Анализ показал, что встроенная инфраструктура контроля в этих вредоносных документах следовала четко определённому шаблону — информация скрывалась в потоке «1Table» в файлах Microsoft Office.
Продолжение атак
В январе 2025 года была зафиксирована ещё одна атака, в ходе которой аналогичный вредоносный документ был отправлен на российское оборонное предприятие. Это свидетельствует о постоянной нацеленности группировки на данный сектор. Инфраструктура злоумышленников отличалась высокой степенью изощренности.
Среди особенностей можно отметить:
- Наличие сервера IMAP для рассылки вредоносной почты;
- Использование шифрования TLS для уклонения от мониторинга.
Мошеннические документы
Проверка вредоносных документов, использованных Cloud Atlas, выявила, что они содержат различные профессиональные и правительственные материалы, способные ввести в заблуждение получателей. В числе таких документов:
- Приглашения на учебные курсы;
- Документы, касающиеся борьбы с коррупцией.
Детальное расследование выявило множество признаков того, что эти документы были созданы на основе закрытых правительственных материалов, с внесением в них изменений для избежания раскрытия информации.
Наблюдения Positive Technologies
С 2019 года компания Positive Technologies проводит мониторинг Cloud Atlas, фиксируя значительный сдвиг в фокусе внимания группы в сторону России с 2024 года. Это указывает на растущий уровень угрозы, с которым уже сталкиваются российские учреждения.
Их постоянная бдительность и своевременные предупреждения о возможных атаках подчеркивают меняющиеся стратегии группы и высокий риск, который они представляют.
Перспективы дальнейших атак
Вероятность дальнейших атак остается значительной, о чем свидетельствует регистрация новых сертификатов TLS для вредоносной инфраструктуры. Это говорит о том, что Cloud Atlas продолжает совершенствовать и адаптировать свои методы для будущих кампаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Cloud Atlas APT: Угроза для российских госструктур и ВПК".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.