PT Expert Security Center

CloudAtlas. Новая волна кибератак на Россию и Ирак с использованием цепочек легитимных веб‑ресурсов

Авторы

Департамент Threat Intelligence экспертного центра безопасности Positive Technologies

Введение

В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies обнаружил очередную кампанию APT‑группировки CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA‑ и VBS‑ компонентов.

Однако кампания отличалась использованием цепочек из oEmbed‑запросов и скомпрометированных легитимных веб‑ресурсов как транспортного слоя для загрузки полезной нагрузки, что усложняло выявление и атрибуцию канала доставки вредоносного ПО.

Дополнительный интерес представляет нетипичный таргетинг: наряду с кибератаками на российские объекты энергетической, оборонно‑промышленной и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.

Описание атаки и инструментов

Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб‑ресурсов в национальных доменных зонах Бразилии, Аргентины и Индонезии (о появлении у группировки этой техники TI‑департамент PT ESC сообщал в апреле 2026 года в исследовании связи CloudAtlas с брокером первоначального доступа Mustard Tempest).

Однако в новой кампании группировка вместо прямых HTTP‑запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed‑запросов формата

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

 
для доставки полезной нагрузки через промежуточные легитимные WordPress‑сайты с открытыми API‑эндпойнтами. Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.

Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.

Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA‑дроппер, выполняющий следующие действия на зараженном хосте:

  • создание директории %APPDATA%\Microsoft\Windows\WebCache\;
  • извлечение в созданную директорию комплекта дополнительных вредоносных модулей из трех файлов: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs;
  • закрепление в скомпрометированной системе путем прописывания в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска VBS‑скрипта WebCachea54.vbs: wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs";
  • запуск выполнения VBS‑скриптов WebCachea54.vbs и WebCachea54tmp0.vbs.

Файл WebCachea54.vbs является VBS‑дроппером второй стадии, который при запуске на зараженном хосте выполняет следующие действия:

  • создает объект с CLSID = {0D43FE01-F093-11CF-8940-00A0C9 054 228} (FileSystemObject);
  • создает словарь для декодирования hex‑символов;
  • извлекает закодированную в файле WebCachea54.jfm строку и декодирует ее в VBS‑скрипт, предварительно удаляя вставки символа l;
  • запускает декодированный VBS‑скрипт командой Execute.

Извлеченный из JFM‑файла VBS‑скрипт является дроппером третьей стадии: также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.

Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS‑лоадер, который с использованием WMI‑функций выполняет следующие действия на зараженном хосте:

  • Получает информацию о пользователе зараженного хоста;
  • Формирует HTTP‑заголовок User‑Agent с эксфильтрацией информации о пользователе зараженного хоста: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86;
  • Используя HTTP‑заголовок User‑Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed‑запроса к промежуточному легитимному WordPress-сайту с открытым API‑эндпойнтом wp‑json/oembed/1.0/embed/url=;
  • Осуществляет XOR‑расшифровку загруженной полезной нагрузки;
  • Сохраняет полезную нагрузку в директорию %APPDATA%\Microsoft\Windows\WebCache\;
  • Закрепляет полезную нагрузку в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run в параметр TrustedInstaller.

При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP‑запросов к вредоносной инфраструктуре.

Для защиты от обнаружения в лоадере командой WScript.Sleep реализованы произвольные длительные временные задержки между выполнением участков вредоносного кода.

Итоговой полезной нагрузкой, загружаемой VBS‑лоадером, являются инструменты из личного арсенала группировки CloudAtlas — загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2‑инфраструктурой через сервис Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed‑запросы и промежуточные легитимные веб‑ресурсы.

Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей, выполняя следующие действия на зараженном хосте:

1. Проверка наличия директорий:

  • %APPDATA%\..\Local\Temp
  • %APPDATA%\..\Local\Microsoft\Windows
  • %APPDATA%\..\Local\Microsoft\Windows\INetCache
  • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files
  • %APPDATA%\..\Local\Temporary Internet Files

2. Удаление файлов с расширением .hta в директории %APPDATA%\..\Local\Temp

3. Очистка директорий:

  • %APPDATA%\..\Local\Temporary Internet Files
  • %APPDATA%\..\Local\Microsoft\Windows\INetCache
  • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files
  • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\

Заключение

Занимающаяся кибершпионажем группировка CloudAtlas является одной из наиболее устойчивых, агрессивных и технически развитых киберугроз для российской критической инфраструктуры. Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб‑ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов. Эта техника позволяет маскировать истинное назначение сетевых соединений и усложнить сигнатурное детектирование кибератак.

Эффективная защита от подобных устойчивых сложных угроз может быть обеспечена исключительно путем использования комплексных решений, сочетающих в себе ранее накопленную детектирующую экспертизу и актуальные данные киберразведки. TI‑департамент PT ESC продолжит отслеживать активность группировки, своевременно предупреждать потенциальных жертв о готовящихся кибератаках и поставлять уникальные данные киберразведки пользователям продуктов Positive Technologies и портала PT Fusion.

Рекомендации по защите

В целях защиты от кибератак APT‑группировки CloudAtlas рекомендуется:

  • Использовать лицензированные средства антивирусной защиты с актуальными и регулярно обновляемыми базами сигнатур.
  • Проверять с помощью средств антивирусной защиты вложения в электронных письмах, поступающих от недоверенных и подозрительных отправителей. Насторожиться стоит, если отсутствует история переписки с отправителем, а также если отправитель не является контрагентом, использует электронный адрес с нестандартным доменом, акцентирует внимание на срочности изучения документов, особенно подчеркивает названия государственных учреждений, регулирующих органов, надзорных ведомств.
  • Не открывать защищенные паролями архивы и вложенные файлы без их предварительной проверки средствами антивирусной защиты.
  • Отключить сокрытие расширений файлов, проверять реальные расширения файлов: не открывать файлы, значок которых не соответствует реальному расширению файла; не открывать файлы, содержащие в конце названия несколько расширений, разделенных точкой.
  • Регулярно обучать сотрудников безопасному использованию электронной почты и противодействию методам социальной инженерии.

Индикаторы компрометации

Сетевые индикаторы (легитимные скомпрометированные ресурсы)

Индикаторы
cliente.k4marcas.com.br
cendekiaterpadu.org
elrionosune.unlu.edu.ar

Файловые индикаторы

Документы Microsoft Office

Индикаторы
b8ec70e9a8655e7eebaae2207ab70cd9197baeb707db7db32b1facb81a53352f
8be68dea337a1e7ab1224a10c3c6ca640d55292d135194a5e5ec9454b3bda906
653520c24e3ad044c00503e3debccefaac3a6fdf76c5ca40b47b937fdbd389a7
c51342db84605e2fe80d20e82bc129d734f8bfb0c0d3d953d2a26b48c132e5de

HTA-дроппер

Индикатор
fc5172aafa4f3978d7fbbbf0611ae5e40da399196010bcc1a50b09ac42fe9e43

VBS-дроппер второй стадии

Индикатор
fe4b748c3bccbb01199e72c5a90498705b779a65fcfc8dff08a4eb6f8049f80c

JFM-файл с закодированным кодом

Индикатор
072bcbf1fd1832b3c6accbeac0090d92e88db84866ea9665c5570d17c621b3a0

Загрузчик PowerCloud

Индикаторы
fe320c25eacd86f3e2b706bf63790c178a55615fbd88282b76f8b3fe455c64c4
1d65d11bb51a8e667f22c7ab2f8829b30b4b80ac3a7bccac419851160a926177
c537d6e07f303c5aa1a52a6da1d7a33c80d94ecb52127ba68fe74e7345e6bf83

VBS‑скрипт удаления следов кибератаки

Индикатор
30344a87b91ec8454e0da15fe5218bd9f1bcce78169bbe9503fec147e37974ab

Названия файлов

Индикаторы
WebCachea54.jfm
WebCachea54.vbs
WebCachea54tmp0.vbs

Директории

\Microsoft\Windows\WebCache
\Microsoft\Windows\INetCache
\Microsoft\Windows\Temporary Internet Files\Content.Word

Реестр Windows

Ключ: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Значение: TrustedInstaller

Ключевые TTPs

IDНазваниеОписание

Initial Access

T1566.001Phishing: Spearphishing AttachmentCloudAtlas для получения первоначального доступа в атакуемую систему использует таргетированную email‑рассылку вредоносных документов Microsoft Office
T1659Content Injection

CloudAtlas внедряет вредоносный контент в скомпрометированные легитимные ресурсы и загружает его на зараженный хост с использованием цепочки oEmbed-запросов

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

Execution

T1059.005Command and Scripting Interpreter: Visual BasicCloudAtlas использует вредоносные VBS‑скрипты WebCachea54.vbs и WebCachea54tmp0.vbs, запускаемые командой wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs"
T1059.007Command and Scripting Interpreter: JavaScriptCloudAtlas использует обфусцированные HTA‑дропперы для распаковки в скомпрометированной системе вредоносных VBS‑скриптов WebCachea54.vbs и WebCachea54tmp0.vbs и JFM‑файла WebCachea54.jfm с закодированной полезной нагрузкой
T1047Windows Management InstrumentationCloudAtlas использует WMI‑функции для сбора информации о зараженном хосте и редактирования ключей реестра Windows

Persistence

T1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

CloudAtlas закрепляется в скомпрометированной системе путем записи в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска VBS-дроппера WebCachea54.vbs:

 wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs"

CloudAtlas закрепляется в скомпрометированной системе путем записи в параметр TrustedInstaller ключа реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска загрузчика VBShower

Stealth

T1221Template InjectionCloudAtlas использует технику внедрения удаленных шаблонов для сокрытия вредоносной нагрузки
T1027Obfuscated Files or InformationCloudAtlas использует обфусцированные вредоносные VBS/HTA‑файлы
T1027.004Obfuscated Files or Information: Compile After DeliveryCloudAtlas извлекает вредоносный код из тела JFM‑файлов и VBS/HTA‑дропперов после их доставки в скомпрометированную систему
T1027.009Obfuscated Files or Information: Embedded PayloadsCloudAtlas размещает закодированный в Base64 и обфусцированный код полезной нагрузки в теле JFM‑файлов и VBS/HTA‑дропперов
T1027.013Obfuscated Files or Information: Encrypted/Encoded FileCloudAtlas использует XOR‑шифрование и Base64‑кодирование кода полезной нагрузки
T1497.003Virtualization/Sandbox Evasion: Time Based EvasionCloudAtlas с использованием команды WScript.Sleep реализует произвольные длительные временные задержки между выполнением участков кода и вызовом WMI-функций
T1070.004Indicator Removal on Host: File Deletion

CloudAtlas использует VBS‑скрипт WebCachea54tmp0.vbs для очистки содержимого следующих директорий:

  • %APPDATA%\..\Local\Temp
  • %APPDATA%\..\Local\Temporary Internet Files
  • %APPDATA%\..\Local\Microsoft\Windows\INetCache
  • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files
  • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\

Discovery

T1082System Information DiscoveryCloudAtlas использует WMI‑функции для сбора информации о зараженном хосте

Command and Control

T1102.002Web Service: Bidirectional Communication

CloudAtlas использует механизм oEmbed‑запросов для доставки полезной нагрузки через промежуточные легитимные WordPress‑сайты в национальных доменных зонах Бразилии, Аргентины, Индонезии с открытыми API-эндпойнтами /wp-json/oembed/1.0/embed/

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

T1665Hide Infrastructure

CloudAtlas скрывает вредоносную инфраструктуру с полезной нагрузкой путем использования легитимных веб-ресурсов с открытыми oEmbed API‑эндпойнтами в качестве промежуточных звеньев канала доставки

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

Exfiltration

T1041Exfiltration Over C2 Channel

CloudAtlas передает информацию о зараженном хосте C2‑инфраструктуре с использованием модифицированного HTTP‑заголовка User‑Agent:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86

Вердикты продуктов Positive Technologies

PT Sandbox

YARA‑правила

Вердикты:
apt_win_ZZ_CloudAtlas__Trojan__VB__Loader
apt_win_ZZ_CloudAtlas__Trojan__VB__Cleaner