Cloud Atlas меняет почерк: APT-группа экспериментирует с инфраструктурой и методами атак

Cloud Atlas, известная с 2014 года, традиционно специализируется на кибершпионаже и краже конфиденциальных данных. Группа использует сложные многоэтапные атаки, собственные загрузчики и шифрованные каналы связи для скрытного сбора информации. В середине октября 2025 года F6 зафиксировала атаку на российское предприятие агропромышленного комплекса. Злоумышленники рассылали фишинговые письма с адреса mkrutij@list[.]ru, используя в качестве приманки документ с программой отраслевого форума. Вложение «Программа Форум Зерно и масличные.doc» содержало реальную информацию о мероприятии, но при открытии инициировало цепочку загрузки.

Механизм доставки вредоносной полезной нагрузки (payload) остался прежним. Загрузчиком выступал DOC-файл, который через шаблон загружал RTF-документ, эксплуатирующий старую уязвимость CVE-2017-11882. В результате на компьютер жертвы загружался дроппер, доставляющий бэкдор VBShower. Однако ключевое изменение коснулось инфраструктуры. В этой атаке использовался домен kommando[.]live, что нехарактерно для группы, которая годами работала преимущественно в зонах .com, .net, .org и .info. Более того, для первых двух этапов атаки применялся один и тот же домен, хотя ранее Cloud Atlas обычно использовала отдельные домены для каждого шага.

Аналитики обнаружили на VirusTotal еще два файла, связанных с этим доменом. Их названия - «Запрос_демографических_данных_предприятий_на_2025_год_для_медицинского_обслуживания.doc» и «Приложение_ Запрос на проведение закупки.doc» - указывают на возможное расширение целей. Специалисты предполагают, что под удар могли попасть и предприятия оборонно-промышленного комплекса. Дальнейшее расследование позволило выявить дополнительный сервер atelierdebondy[.]fr, использовавшийся для загрузки шаблона.

Эксперименты группы не ограничиваются сменой доменов. Начиная с 2023 года, Cloud Atlas активно тестирует новые методы доставки. Например, в ноябре 2023 года вместо привычных документов использовался ZIP-архив с BAT-файлом, который создавал и запускал PowerShell-скрипт для загрузки следующей стадии атаки. В конце 2024 года исследователи наткнулись на LNK-файлы (ярлыки Windows). При их запуске жертве показывался легитимный PDF-документ, а в фоновом режиме выполнялся скрипт, загружающий команды с удаленного сервера. Тогда атрибутировать эти атаки Cloud Atlas не удалось, так как сервер с полезной нагрузкой был недоступен.

Однако в июле 2025 года на VirusTotal появились почти идентичные LNK-файлы, что подтвердило гипотезу экспертов. В новых образцах злоумышленники лишь немного модифицировали команды, добавив в строку User-Agent упоминание ms-office и изменив способ передачи ответа сервера для обхода детектирования. Глубокий анализ инфраструктуры, использованной в этих атаках, позволил с высокой степенью уверенности связать их с Cloud Atlas.

Проведенное исследование демонстрирует высокую адаптивность группы. Cloud Atlas постоянно меняет подходы к использованию инфраструктуры и тестирует новые загрузчики. При этом группировка сохраняет ряд неизменных тактик, техник и процедур (TTPs, по фреймворку MITRE ATT&CK) и продолжает успешно эксплуатировать давно известные уязвимости. Это указывает на эффективность их атак, которая обеспечивается за счет наличия в сетях жертв непропатченных систем и человеческого фактора. Сочетание консервативных, но рабочих методов с постоянными экспериментами делает Cloud Atlas серьезной и динамичной угрозой для информационной безопасности организаций в регионе.

Domains

• atelierdebondy.fr
• base-steel.com
• bilaine.com
• billet-ru.net
• cityru-travel.org
• edgewebview.com
• flashsupport.org
• goruslugi.org
• hostscontrol.com
• information-model.net
• istochnik.org
• iznews.net
• kommando.live
• marketru.net
• mskreg.net
• multipackage.net
• news-freebase.com
• perfectfinder.net
• regioninvest.net
• rosatomgroup.com
• roskomnadz.com
• rostvgroup.com
• russiatimes.info
• ru-tube.net
• rzhd.org
• securemodem.com
• sens-prom.com
• solid-logit.com
• statusupport.org
• support-ru-services.com
• tele22.org
• telehraf.com
• timesynchronization24.com
• transferpolicy.org
• updatechecker.org
• uslugiru.com
• web-digit.com
• web-portal-app.com

Domains

• glotovao56@yandex.ru
• mkrutij@list.ru

SHA1

• 2441ddb88b998915de991e76c915dca591f01245
• 405237bd1231d3b1a47ff17930b11b6992491a2f
• 4ab950002e2e1968b1915ec95b62a91740b10cb8
• 4dc916b2537071a0f73f2600b008a8571c30488d
• 57db839a5060ea25423a19ae9bf0c0c32a2bbf8d
• 5ff4f47ba79a0a0649a25910e6df5c09f4b83f11
• 63e07982afbfe0154d5894c314379af11c84a5af
• 8ff9b4b1dcc3b759e31cc249dfb15e9d0f3705cd
• 9c34b77bc68fb9b8f440d8f0ed4b0cbacd1ae2c7
• a08343ace9a8891f0e54d4e7efd219800c52bb0c
• a17543a66b8035a0816b6c50beef9fd725914f7d
• af989433c920346e9f74bb27ccde0c3c14f7f578
• b45607c5114852cb07c191719cceea9c2e2316ea
• b80561b2d0725ed2125567e8b3976403a041e485
• c00926833b195eabf1281da51ea566db7025c15b
• c8028a2656f0cc0a1c44450b8270634bd3f88617
• da381c853f1544ebe1c8aba4ac565255dbb438ee
• e3d62ba9609851719080f4d62d22ff8e8584731d
• f305ebaacbeb7746147f651d15bfb5da5dfe6ecc
• ff30ebff67258f067021556338195b0e02ba9a40