Positive Technologies: APT-группировка Cloud Atlas атакует российские предприятия ОПК

Специалисты Positive Technologies следят за активностью злоумышленников и своевременно предупреждают жертв о готовящихся кибератаках

Эксперты Positive Technologies, наблюдая за инфраструктурой APT-группировки Cloud Atlas, заблаговременно обнаружили начало их новой киберкампании. Это позволило вовремя предупредить и пресечь вредоносную активность в отношении пользователей продуктов Positive Technologies, а также проинформировать российские организации о надвигающейся киберугрозе. На этот раз под прицелом злоумышленников оказались предприятия оборонно-промышленного комплекса России.

В конце прошлого и начале текущего года группа киберразведки TI-департамента Positive Technologies (PT ESC TI) обнаружила вредоносные документы Microsoft Office, отправленные фишинговой рассылкой российским предприятиям оборонно-промышленного комплекса. Вложения представляли собой якобы приглашения на курсы повышения квалификации, справки в отношении сотрудников, акты сверки взаимных расчетов и другие характерные для государственного сектора документы. Во всех файлах была применена типичная для АРТ-группировки Cloud Atlas техника сокрытия информации об их управляющей инфраструктуре.

В конце января внимание группы киберразведки PT ESC TI привлек документ, схожий по адресанту, тематике и структуре, но который был отправлен с другого управляющего сервера. Экспертам удалось определить вредоносную инфраструктуру, на которую мигрировали атакующие, и установить за ней наблюдение, что позволило в режиме реального времени отслеживать весь размах новой волны атак со стороны группировки.

«Злоумышленники использовали скомпрометированные электронные адреса ранее зараженных организаций для отправки вредоносных писем контрагентам. Сами же документы Microsoft Office, вероятнее всего, также были украдены из сетей ранее атакованных предприятий. На момент проведения исследования обнаруженные вредоносные документы не детектировались классическими средствами антивирусной защиты».

Виктор КазаковВедущий специалист группы киберразведки PT ESC TI

В феврале 2025 года в один день было зарегистрировано несколько новых TLS-сертификатов для новой инфраструктуры злоумышленников, в связи с чем экспертный центр безопасности Positive Technologies прогнозирует сохранение высокого уровня киберугроз, исходящих от APT-группировки Cloud Atlas. Для предотвращения подобных атак эксперты рекомендуют использовать антивирусные продукты, песочницы, например PT Sandbox, и средства защиты конечных устройств, например MaxPatrol EDR.

Пользователям, в свою очередь, следует обращать внимание на отправителя электронных писем, особенно если с ним отсутствует история переписки, если он не является контрагентом, акцентирует внимание на срочности изучения документов, манипулирует названиями государственных учреждений, регуляторов, надзорных ведомств, а также если его электронный адрес зарегистрирован в нестандартной доменной зоне. Мы также рекомендуем включить отображение расширений файлов и не открывать вложения, иконка которых не соответствует реальному расширению или которые содержат в конце названия несколько расширений, разделенных точкой.