Cloud Atlas возвращается: что скрывает «Министерство правды»?

APT-группа рассылает фальшивые документы с реальных адресов

Эксперты Positive Technologies выявили новую кибератаку APT-группировки Cloud Atlas ещё на стадии подготовки. Это позволило своевременно предупредить пользователей решений PT и российские организации об угрозе. В центре внимания злоумышленников оказались предприятия оборонно-промышленного комплекса России.

С конца 2024 года и в начале 2025 года специалисты PT ESC TI зафиксировали рассылку вредоносных документов Microsoft Office, замаскированных под типовые деловые файлы — приглашения на курсы, справки, акты сверки и т.п. Все они содержали характерные для Cloud Atlas методы сокрытия управляющей инфраструктуры.

В январе был обнаружен новый документ с тем же содержанием, но отправленный с другого управляющего сервера. Это помогло выявить свежую вредоносную инфраструктуру и отслеживать новую волну атак в режиме реального времени.

Особенность кампании — рассылка писем с уже скомпрометированных адресов электронной почты ранее заражённых организаций. Файлы, вероятно, были украдены во время прошлых атак и на момент анализа не детектировались антивирусами.

В феврале злоумышленники зарегистрировали несколько новых TLS-сертификатов, что указывает на продолжающуюся активность. По оценке PT, высокий уровень угроз со стороны Cloud Atlas сохранится.

Рекомендации: проверяйте отправителя, особенно если нет предыдущих сообщений, не открывайте вложения с подозрительным расширением или несоответствием иконки и типа файла. Включите отображение расширений и будьте внимательны к письмам с адресов в нестандартных доменных зонах.