Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

Ключевые характеристики выявленной активности кибергруппировки Cloud Atlas:

• Акцент на кибератаках на предприятия оборонно-промышленного комплекса России.
• Формирование вредоносных файлов из ведомственных шаблонов документов Microsoft Office, не обнаруженных в открытом доступе и, вероятнее всего, украденных группировкой из сетей ранее зараженных учреждений и предприятий.
• Очистка метаданных вредоносных документов Microsoft Office перед их использованием в реальных кибератаках во избежание раскрытия ранее зараженных учреждений и предприятий.
• Перемещение между ранее атакованными предприятиями и их контрагентами с использованием скомпрометированной электронной почты (BEC-атаки).

В ноябре 2024 года одно из российских государственных учреждений привлекло к расследованию кибератаки на свои информационные системы команду реагирования на инциденты экспертного центра безопасности Positive Technologies (PT ESC IR). Результаты расследования позволили выйти на след APT-группировки Cloud Atlas, о которых мы подробно рассказывали в исследовании «Cloud Atlas: sheet happens».

Наблюдение за вредоносной инфраструктурой группировки с задействованием внутренних систем киберразведки TI-департамента Positive Technologies (PT ESC TI) позволило вовремя обнаружить начало новой кибератаки, отследить последующую миграцию управляющей инфраструктуры и эволюцию вредоносных документов, своевременно предупредить и пресечь вредоносную активность у пользователей продуктов Positive Technologies, проинформировать иные российские организации о надвигающейся киберугрозе.

При изучении документа в PT Sandbox подтвердилось, что при его открытии зараженный узел устанавливает соединение с управляющим центром APT-группировки Cloud Atlas officeconfirm.technoguides[.]org, идентифицированным в ноябре 2024 года. Целевое предприятие было незамедлительно проинформировано о готовящейся кибератаке, подтверждено получение вредоносного документа на корпоративную электронную почту.

Полагаем, что день и время отправки вредоносного документа — пятница, конец рабочего дня — выбраны группировкой с расчетом на открытие документа невнимательным сотрудником в спешке — для комфортного перемещения атакующих в зараженной инфраструктуре между невыключенными компьютерами в течение выходных дней.

Последующий детальный анализ вредоносного файла подтвердил сокрытие в нем информации об управляющей инфраструктуре в потоке 1Table документа Microsoft Office — характерная техника АРТ-группировки Cloud Atlas.

В январе 2025 года системы киберразведки PT ESC TI обнаружили другой вредоносный документ Microsoft Office, также содержавший информацию об указанном управляющем центре в потоке 1Table. Он был отправлен в адрес опытно-конструкторского подразделения предприятия оборонно-промышленного комплекса России. Целевое предприятие было незамедлительно проинформировано командой PT ESC о готовящейся кибератаке.

Однако спустя несколько дней, в конце января 2025 года, внимание группы киберразведки PT ESC TI привлек схожий по адресанту, тематике и структуре документ, отличавшийся управляющим центром, инкапсулированным в поток 1Table документа Microsoft Office, — cyberservice24[.]com.

Сбор и анализ сетевых артефактов, оставленных APT-группировкой Cloud Atlas, позволил группе киберразведки установить вредоносную инфраструктуру, на которую мигрировали атакующие для проведения новой волны кибератак:

Примечательно, что первые связанные с новой инфраструктурой вредоносные файлы, использованные в реальных кибератаках, появились в начале января 2025 года, в то время как серверы, доменные имена, TLS-сертификаты и необходимые DNS-записи были зарегистрированы и появились в сети еще в конце октября — начале ноября 2024 года.

При исследовании новой инфраструктуры было обнаружено, что на сервере 45.140.169[.]16 на стандартном TCP-порте 993 был активирован протокол IMAP с TLS-сертификатом для домена block-monitor[.]net. На начальных стадиях новой волны кибератак сервер, вероятно, использовался для рассылки вредоносных электронных писем. Использование TLS-сертификата обеспечивало шифрование тела сообщений и вложений, что помогало группировке оставаться незамеченной для систем обнаружения и предотвращения вторжений на сетевом периметре атакуемых предприятий. При этом MX-запись (DNS) для домена block-monitor[.]net отсутствовала, АРТ-группировка не планировала получать ответные письма и вступать в переписку с жертвами.

Наблюдение за выявленной вредоносной инфраструктурой, оперативно организованное с задействованием внутренних систем киберразведки PT ESC TI, позволило в режиме реального времени отслеживать весь размах новой киберактивности группировки Cloud Atlas, в том числе вскрыть факты использования скомпрометированной электронной почты ранее зараженных российских предприятий оборонно-промышленного комплекса России для отправки вредоносных документов Microsoft Office в адрес контрагентов (BEC-атаки).

Стоит отметить, что в феврале 2025 года в один день были зарегистрированы несколько новых TLS-сертификатов для вредоносной инфраструктуры, обнаруженной группой киберразведки PT ESC TI, ввиду чего следует ожидать новых кибератак АРТ-группировки Cloud Atlas в рамках вскрытой киберкампании.

Обнаружение и контроль новой инфраструктуры группировки позволили изучить весь арсенал вредоносных документов Microsoft Office, детальный анализ которых подтвердил применение в каждом изученном файле техники сокрытия информации об управляющей инфраструктуре в потоке 1Table.

В предыдущем исследовании эксперты PT ESC подробно описали, как открытие подобных документов приводит к выполнению вредоносных VB-скриптов, записанных в альтернативные потоки данных, которые взаимодействуют с API Google Sheets для передачи информации о зараженной системе и загрузки бэкдора PowerShower с последующей эксфильтрацией украденных данных на облачные хранилища.

На момент проведения исследования обнаруженные вредоносные документы Microsoft Office не детектировались классическими средствами антивирусной защиты.

По внутреннему содержанию вредоносные файлы являлись:

• приглашением на курсы повышения квалификации;
• документами, связанными с антикоррупционной проверкой;
• документами, связанными с мобилизационными мероприятиями;
• справками в отношении сотрудников;
• резюме операторов станков ЧПУ;
• актами сверки взаимных расчетов;
• статьей российского военного корреспондента;
• статьей о перспективах российско-китайских экономических взаимоотношений.

Последний вредоносный документ («Акт сверки взаимных расчетов», рис. 14) использовался в BEC-атаках и рассылался с корпоративных адресов электронной почты ранее зараженных предприятий на адреса электронной почты финансовых подразделений контрагентов (рис. 6).

При детальном изучении вредоносных файлов был вскрыт ряд артефактов, характерных для обнаруженных документов:

• отсутствие оригиналов и шаблонов в открытом доступе (за исключением статей, сформированных из текстов публичных интервью и аналитической публикации на военную тематику);
• неактуальные даты предлагаемых мероприятий и соглашений;
• вымышленные мероприятия (в частности, в расписании курсов повышения квалификации одного из научных институтов, опубликованном на официальном сайте учреждения, в указанные даты отсутствовал семинар, указанный во вредоносном документе с приглашением принять участие);
• отсутствие метаданных об авторе документа;
• модификация документов накануне их использования в реальных кибератаках.

Обнаруженные в ходе исследования артефакты в совокупности указывают на то, что APT-группировка Cloud Atlas для формирования вредоносных файлов использует непубличные характерные для государственного сектора документы Microsoft Office, вероятнее всего, украденные из сетей ранее зараженных предприятий. Перед использованием в реальных кибератаках из документов удаляются метаданные во избежание раскрытия информации, которая позволит идентифицировать скомпрометированные группировкой учреждения и предприятия и принять меры по устранению ее присутствия в зараженных сетях.

Активность АРТ-группировки Cloud Atlas отслеживается специалистами PT ESC с мая 2019 года. География кибератак в наибольшей степени была сконцентрирована на государственном секторе России, Белорусии, Азербайджана, Турции и Словении. Однако в 2024 году вектор кибератак существенно сместился в сторону России, их высокая интенсивность, скорость миграции атакующей инфраструктуры и эволюции вредоносных документов сохраняются до настоящего времени.

Экспертный центр безопасности Positive Technologies прогнозирует сохранение высокого уровня опасности киберугроз для российских учреждений и организаций, исходящих от APT-группировки Cloud Atlas. TI-департамент PT ESC продолжает отслеживать активность группировки, своевременно предупреждать жертв о готовящихся кибератаках и поставлять уникальные данные киберразведки пользователям продуктов Positive Technologies.

В целях защиты от кибератак APT-группировки Cloud Atlas рекомендуется:

• Использовать лицензированные средства антивирусной защиты с актуальными и регулярно обновляемыми базами сигнатур.
• Проверять с помощью средств антивирусной защиты вложения в электронных письмах, поступающих от недоверенных и подозрительных отправителей. Насторожиться стоит, если отсутствует история переписки с отправителем, а также если отправитель не является контрагентом, использует электронный адрес с нестандартным доменом, акцентирует внимание на срочности изучения документов, особенно подчеркивает названия государственных учреждений, регуляторов, надзорных ведомств.
• Не открывать защищенные паролями архивы и вложенные файлы без их предварительной проверки средствами антивирусной защиты.
• Отключить сокрытие расширений файлов, проверять реальные расширения файлов: не открывать файлы, значок которых не соответствует реальному расширению файла; не открывать файлы, содержащие в конце названия несколько расширений, разделенных точкой.
• Регулярно проводить обучение и тренинги сотрудников по безопасному использованию электронной почты и противодействию методам социальной инженерии.