Авторы
Департамент Threat Intelligence экспертного центра безопасности Positive Technologies
Департамент Threat Intelligence экспертного центра безопасности Positive Technologies
В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies обнаружил очередную кампанию APT‑группировки CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA‑ и VBS‑ компонентов.
Однако кампания отличалась использованием цепочек из oEmbed‑запросов и скомпрометированных легитимных веб‑ресурсов как транспортного слоя для загрузки полезной нагрузки, что усложняло выявление и атрибуцию канала доставки вредоносного ПО.
Дополнительный интерес представляет нетипичный таргетинг: наряду с кибератаками на российские объекты энергетической, оборонно‑промышленной и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.
Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб‑ресурсов в национальных доменных зонах Бразилии, Аргентины и Индонезии (о появлении у группировки этой техники TI‑департамент PT ESC сообщал в апреле 2026 года в исследовании связи CloudAtlas с брокером первоначального доступа Mustard Tempest).
Однако в новой кампании группировка вместо прямых HTTP‑запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed‑запросов формата
[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]
для доставки полезной нагрузки через промежуточные легитимные WordPress‑сайты с открытыми API‑эндпойнтами. Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.


Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.

Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA‑дроппер, выполняющий следующие действия на зараженном хосте:

Файл WebCachea54.vbs является VBS‑дроппером второй стадии, который при запуске на зараженном хосте выполняет следующие действия:

Извлеченный из JFM‑файла VBS‑скрипт является дроппером третьей стадии: также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.
Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS‑лоадер, который с использованием WMI‑функций выполняет следующие действия на зараженном хосте:


При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP‑запросов к вредоносной инфраструктуре.

Для защиты от обнаружения в лоадере командой WScript.Sleep реализованы произвольные длительные временные задержки между выполнением участков вредоносного кода.

Итоговой полезной нагрузкой, загружаемой VBS‑лоадером, являются инструменты из личного арсенала группировки CloudAtlas — загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2‑инфраструктурой через сервис Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed‑запросы и промежуточные легитимные веб‑ресурсы.

Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей, выполняя следующие действия на зараженном хосте:
1. Проверка наличия директорий:
2. Удаление файлов с расширением .hta в директории %APPDATA%\..\Local\Temp
3. Очистка директорий:

Занимающаяся кибершпионажем группировка CloudAtlas является одной из наиболее устойчивых, агрессивных и технически развитых киберугроз для российской критической инфраструктуры. Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб‑ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов. Эта техника позволяет маскировать истинное назначение сетевых соединений и усложнить сигнатурное детектирование кибератак.
Эффективная защита от подобных устойчивых сложных угроз может быть обеспечена исключительно путем использования комплексных решений, сочетающих в себе ранее накопленную детектирующую экспертизу и актуальные данные киберразведки. TI‑департамент PT ESC продолжит отслеживать активность группировки, своевременно предупреждать потенциальных жертв о готовящихся кибератаках и поставлять уникальные данные киберразведки пользователям продуктов Positive Technologies и портала PT Fusion.
В целях защиты от кибератак APT‑группировки CloudAtlas рекомендуется:
| Индикаторы |
|---|
| cliente.k4marcas.com.br |
| cendekiaterpadu.org |
| elrionosune.unlu.edu.ar |
| Индикаторы |
|---|
| b8ec70e9a8655e7eebaae2207ab70cd9197baeb707db7db32b1facb81a53352f |
| 8be68dea337a1e7ab1224a10c3c6ca640d55292d135194a5e5ec9454b3bda906 |
| 653520c24e3ad044c00503e3debccefaac3a6fdf76c5ca40b47b937fdbd389a7 |
| c51342db84605e2fe80d20e82bc129d734f8bfb0c0d3d953d2a26b48c132e5de |
| Индикатор |
|---|
| fc5172aafa4f3978d7fbbbf0611ae5e40da399196010bcc1a50b09ac42fe9e43 |
| Индикатор |
|---|
| fe4b748c3bccbb01199e72c5a90498705b779a65fcfc8dff08a4eb6f8049f80c |
| Индикатор |
|---|
| 072bcbf1fd1832b3c6accbeac0090d92e88db84866ea9665c5570d17c621b3a0 |
| Индикаторы |
|---|
| fe320c25eacd86f3e2b706bf63790c178a55615fbd88282b76f8b3fe455c64c4 |
| 1d65d11bb51a8e667f22c7ab2f8829b30b4b80ac3a7bccac419851160a926177 |
| c537d6e07f303c5aa1a52a6da1d7a33c80d94ecb52127ba68fe74e7345e6bf83 |
| Индикатор |
|---|
| 30344a87b91ec8454e0da15fe5218bd9f1bcce78169bbe9503fec147e37974ab |
| Индикаторы |
|---|
| WebCachea54.jfm |
| WebCachea54.vbs |
| WebCachea54tmp0.vbs |
| \Microsoft\Windows\WebCache |
| \Microsoft\Windows\INetCache |
| \Microsoft\Windows\Temporary Internet Files\Content.Word |
| Ключ: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
| Значение: TrustedInstaller |
| ID | Название | Описание |
|---|---|---|
Initial Access | ||
| T1566.001 | Phishing: Spearphishing Attachment | CloudAtlas для получения первоначального доступа в атакуемую систему использует таргетированную email‑рассылку вредоносных документов Microsoft Office |
| T1659 | Content Injection | CloudAtlas внедряет вредоносный контент в скомпрометированные легитимные ресурсы и загружает его на зараженный хост с использованием цепочки oEmbed-запросов [LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL] |
Execution | ||
| T1059.005 | Command and Scripting Interpreter: Visual Basic | CloudAtlas использует вредоносные VBS‑скрипты WebCachea54.vbs и WebCachea54tmp0.vbs, запускаемые командой wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs" |
| T1059.007 | Command and Scripting Interpreter: JavaScript | CloudAtlas использует обфусцированные HTA‑дропперы для распаковки в скомпрометированной системе вредоносных VBS‑скриптов WebCachea54.vbs и WebCachea54tmp0.vbs и JFM‑файла WebCachea54.jfm с закодированной полезной нагрузкой |
| T1047 | Windows Management Instrumentation | CloudAtlas использует WMI‑функции для сбора информации о зараженном хосте и редактирования ключей реестра Windows |
Persistence | ||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | CloudAtlas закрепляется в скомпрометированной системе путем записи в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска VBS-дроппера WebCachea54.vbs: wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs" |
| CloudAtlas закрепляется в скомпрометированной системе путем записи в параметр TrustedInstaller ключа реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска загрузчика VBShower | ||
Stealth | ||
| T1221 | Template Injection | CloudAtlas использует технику внедрения удаленных шаблонов для сокрытия вредоносной нагрузки |
| T1027 | Obfuscated Files or Information | CloudAtlas использует обфусцированные вредоносные VBS/HTA‑файлы |
| T1027.004 | Obfuscated Files or Information: Compile After Delivery | CloudAtlas извлекает вредоносный код из тела JFM‑файлов и VBS/HTA‑дропперов после их доставки в скомпрометированную систему |
| T1027.009 | Obfuscated Files or Information: Embedded Payloads | CloudAtlas размещает закодированный в Base64 и обфусцированный код полезной нагрузки в теле JFM‑файлов и VBS/HTA‑дропперов |
| T1027.013 | Obfuscated Files or Information: Encrypted/Encoded File | CloudAtlas использует XOR‑шифрование и Base64‑кодирование кода полезной нагрузки |
| T1497.003 | Virtualization/Sandbox Evasion: Time Based Evasion | CloudAtlas с использованием команды WScript.Sleep реализует произвольные длительные временные задержки между выполнением участков кода и вызовом WMI-функций |
| T1070.004 | Indicator Removal on Host: File Deletion | CloudAtlas использует VBS‑скрипт WebCachea54tmp0.vbs для очистки содержимого следующих директорий:
|
Discovery | ||
| T1082 | System Information Discovery | CloudAtlas использует WMI‑функции для сбора информации о зараженном хосте |
Command and Control | ||
| T1102.002 | Web Service: Bidirectional Communication | CloudAtlas использует механизм oEmbed‑запросов для доставки полезной нагрузки через промежуточные легитимные WordPress‑сайты в национальных доменных зонах Бразилии, Аргентины, Индонезии с открытыми API-эндпойнтами /wp-json/oembed/1.0/embed/ [LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL] |
| T1665 | Hide Infrastructure | CloudAtlas скрывает вредоносную инфраструктуру с полезной нагрузкой путем использования легитимных веб-ресурсов с открытыми oEmbed API‑эндпойнтами в качестве промежуточных звеньев канала доставки [LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL] |
Exfiltration | ||
| T1041 | Exfiltration Over C2 Channel | CloudAtlas передает информацию о зараженном хосте C2‑инфраструктуре с использованием модифицированного HTTP‑заголовка User‑Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86 |
| Вердикты: |
|---|
| apt_win_ZZ_CloudAtlas__Trojan__VB__Loader |
| apt_win_ZZ_CloudAtlas__Trojan__VB__Cleaner |