Positive Technologies: APT-группировка Cloud Atlas атакует российские предприятия ОПК
В конце прошлого и начале текущего года группа киберразведки TI-департамента Positive Technologies (PT ESC TI) обнаружила вредоносные документы Microsoft Office, отправленные фишинговой рассылкой российским предприятиям оборонно-промышленного комплекса. Вложения представляли собой якобы приглашения на курсы повышения квалификации, справки в отношении сотрудников, акты сверки взаимных расчетов и другие характерные для государственного сектора документы. Во всех файлах была применена типичная для АРТ-группировки Cloud Atlas техника сокрытия информации об их управляющей инфраструктуре, сообщила Positive Technologies.
В конце января внимание группы киберразведки PT ESC TI привлек документ, схожий по адресанту, тематике и структуре, но который был отправлен с другого управляющего сервера. Экспертам удалось определить вредоносную инфраструктуру, на которую мигрировали атакующие, и установить за ней наблюдение, что позволило в режиме реального времени отслеживать весь размах новой волны атак со стороны группировки.
«Злоумышленники использовали скомпрометированные электронные адреса ранее зараженных организаций для отправки вредоносных писем контрагентам. Сами же документы Microsoft Office, вероятнее всего, также были украдены из сетей ранее атакованных предприятий. На момент проведения исследования обнаруженные вредоносные документы не детектировались классическими средствами антивирусной защиты», — отмечает ведущий специалист группы киберразведки PT ESC TI Виктор Казаков.
В феврале 2025 года в один день было зарегистрировано несколько новых TLS-сертификатов для новой инфраструктуры злоумышленников, в связи с чем экспертный центр безопасности Positive Technologies прогнозирует сохранение высокого уровня киберугроз, исходящих от APT-группировки Cloud Atlas. Для предотвращения подобных атак эксперты рекомендуют использовать антивирусные продукты, песочницы, например PT Sandbox, и средства защиты конечных устройств, например MaxPatrol EDR.
Пользователям, в свою очередь, следует обращать внимание на отправителя электронных писем, особенно если с ним отсутствует история переписки, если он не является контрагентом, акцентирует внимание на срочности изучения документов, манипулирует названиями государственных учреждений, регуляторов, надзорных ведомств, а также если его электронный адрес зарегистрирован в нестандартной доменной зоне. Мы также рекомендуем включить отображение расширений файлов и не открывать вложения, иконка которых не соответствует реальному расширению или которые содержат в конце названия несколько расширений, разделенных точкой.