APT-группа Cloud Atlas запустила новую волну кибератак на российский государственный сектор

Для проведения атак группа использует вредоносные файлы, созданные на основе украденных шаблонов документов Microsoft Office. Эти шаблоны не находятся в открытом доступе и, скорее всего, взяты из ранее зараженных сетей. Группа также предпринимает шаги по очистке метаданных этих документов, чтобы избежать разоблачения своих предыдущих целей. Кроме того, группа использует взломанные учетные записи электронной почты для перемещения между ранее атакованными организациями и их деловыми партнерами.

Российское государственное учреждение обратилось за помощью в расследовании кибератаки на свои информационные системы к специалистам Центра экспертной безопасности Positive Technologies. В результате расследования была выявлена APT-группа Cloud Atlas, а наблюдение за ее инфраструктурой позволило своевременно обнаружить новую кибератаку. Было установлено, что вредоносные документы группы устанавливают связь с центром управления Cloud Atlas, что побудило агентство проинформировать целевое предприятие о готовящейся атаке. Группа стратегически выбрала для отправки вредоносный документ в конце рабочей недели с расчетом на то, что сотрудник поспешно откроет его и позволит злоумышленникам перемещаться внутри взломанной инфраструктуры в течение выходных.

Дальнейший анализ вредоносного файла показал, что он содержал информацию об инфраструктуре управления Cloud Atlas в потоке 1Table документа Microsoft Office. В январе 2025 года был обнаружен еще один вредоносный документ, который также содержал информацию о том же центре управления. О готовящейся кибератаке было оперативно оповещено подразделение разработки одного из предприятий российского оборонно-промышленного комплекса. Однако через несколько дней был обнаружен документ с аналогичным адресом и структурой, но с другим центром управления. Анализ сетевых артефактов выявил несколько вредоносных инфраструктур, на которые мигрировала APT-группа Cloud Atlas, в том числе cyberservice24.com, block-monitor.net и cloud-workstation.com.

Примечательно, что новая вредоносная инфраструктура начала работать в январе 2025 года, однако серверы, доменные имена, TLS-сертификаты и DNS-записи были зарегистрированы еще в октябре-ноябре 2024 года. Расследование новой инфраструктуры показало, что на одном из серверов был активирован протокол IMAP, что позволило группе отправлять вредоносные электронные письма. Использование сертификата TLS позволило группе остаться необнаруженной системами обнаружения и предотвращения вторжений. Эта недавняя волна кибератак подчеркивает постоянную угрозу, исходящую от APT-группы Cloud Atlas, и необходимость для организаций сохранять бдительность при защите своих сетей.

Domains

• block-monitor.net
• cloud-workstation.com
• cyberservice24.com

MD5

• 07ca69fd588c02f5424b08e0b832ea26
• 1cf4bd01863f71ac3084ad6ce95995dc
• 38d5515feb663d78c20a5d1a90ee2032
• 3e20d2771e34aa2f468be6c5116ee763
• 555a8caee84a36325e1e9092c603324f
• 72dd2a0a3dd7d86882f952ee4cbbdc47
• 7c26687af337f87fabe8cbfdad040421
• 888a2b33622eafe21aa05ca0a61130af
• 8d9fc934630e22ef50c53772f16335d3
• 8e06f1fb527bc07935d49a25a92724ea
• 991a239c18c74239c9382eaac0cec13f
• 995031782527200f0bbf90567c4f5efc
• a4c5ba083b544c748f2fc3d5539f71f9
• ac872b78dc934d309d2d4fa710858ec6
• b684c32fe323e10840ea1992d08cfa38
• b979cd254b16f4aeb4b5064c6e6550c0
• bd691933cf63c5304adf430248aeed0c

SHA1

• 05771ef994b1fb1d051cbe2e4b34fcad66d11d8e
• 05a3dc8bcb0b4336d40c71b23b94ebd14f0c3ab0
• 1331e62a9f07a003cb83582c908319f74261b7eb
• 391911332095472c17ac37c26b1734f3d956b5a2
• 4f44476d654d792993406ee5cffb8ff848b60acf
• 549a73c4401c70e7d4bf38b193f4da27ad11b34f
• 5ed9476879cfd52381424958f15e296e40ef6875
• 71df86eba98179c915be5e4665b996fba533e4a6
• 824bb916fd0e9d53bf3211c9e8e76f1c0baaf17f
• 9e8548562836aa1f25fd118638c6bd1b3b36f2e5
• bdce4e6079dd8cc498491165e10189023278f5ec
• bf74b52723665152047568fd675aceb68834c522
• bf9f04945a479acd71dc52f318ef1bc16eee2bf1
• c433621eb7f5a5a3ff5cfb8a16cfcb26011c76b5
• cd47d78392578cfbf7486031ed85cfd3775cb65c
• d503de1acbf93c5b05dcf3722eef2a11b35ea4e0
• da36e4ed73f6cc015a0c631fb313a077ef32873d

SHA256

• 0806e4661777f2b30b7abc96cdbca56ecde5c5703ee52fe5013d30a41ad5508f
• 132934c4eb40a0a993d43dad94c61288a02c018d0be25340dc23673c9b90fa32
• 2824bbb0c66136d6e9c520af187652b5ed1ac6293362877adc85e714af08e450
• 29c461ee511f828129f91a92dfa0a764dc96ec40041974c6c0d00f36c7523dc8
• 2b1711056233dea4cd8dc8376080f5012765b55e159f90fa407fc016328e88e9
• 46a4389c8bd8f1bf3a39706f62026adaf9792edcf4e5630f3f69bef69ba97ea3
• 505e1531d8902de5d198327e238d4694e2eb28fc4f8c239b0db31f09136dce3d
• 71a7820f325c21d9b69830ba58c73865c878b743ddbe6c3e7121a4c405f165e1
• 7d93e536e30c9af42fb19daf4ab86d74eba9635395e4bcfc54c732003bbed4b4
• 98faf6bbea66f07eba832748059a9d466745ab1d4ab16542a91d610dc2b43829
• b8f06954357e6ad1524d13d3c9ee6b495bcd7e3b04acac8694d2f2408c201278
• be41151fbe79e2eb2593f446155f3728d53bc17d5f3cadd7990115cdba871749
• c9ec38422325e766c0c258995d012946d9a51b12fa9e248336bc9d65a4072384
• d8c056e968bdf6a2692575f43e3c4e8761ead909937ed2e58cf9b3ed2f6f476d
• f200fe00265b1f6de5de045341dd00ed13193c5939a1e143d54d793223368d8d
• f4730051838e9d95280406cd1c24a584597879468e4e7ba6001b29d5fa61db88
• fd5ce13879ef7f09a49ffac501dfc716c2bec96d2ce1041f4e5433a8a0429b6e