Cloud Atlas атакует российский оборонный сектор

Cloud Atlas атакует российский оборонный сектор

Cloud Atlas атакует российский оборонный сектор

Эксперты компании Positive Technologies выявили и пресекли новую кампанию APT-группировки Cloud Atlas, нацеленной на предприятия российского оборонного комплекса.

Специалисты своевременно зафиксировали злонамеренную активность и оперативно проинформировали российские организации о новой угрозе.

Как и в конце 2024 года, злоумышленники применяли фишинговую рассылку. Письма, направленные в адрес российских и белорусских госучреждений, содержали вредоносные вложения, внедрённые в документы Microsoft Word. Тематика писем имитировала служебную корреспонденцию — приглашения на курсы, справки, акты и другие типичные документы документооборота госструктур.

Новая кампания стартовала в конце января. Несмотря на сохранение прежней тактики, группировка использовала новые адреса центров управления, а также сместила фокус на предприятия оборонного сектора.

В феврале 2025 года в течение одного дня было зафиксировано несколько новых TLS-сертификатов, выпущенных для свежей инфраструктуры Cloud Atlas. По оценке экспертного центра безопасности Positive Technologies, высокий уровень угроз, исходящих от этой группировки, сохранится и в дальнейшем. Для защиты от подобных атак рекомендуется использовать актуальные версии антивирусных решений, песочницы — например, PT Sandbox, а также средства защиты конечных точек, такие как MaxPatrol EDR.

Конечным пользователям специалисты Positive Technologies советуют внимательно проверять адреса отправителей писем и игнорировать сообщения, пришедшие с подозрительных доменных зон, особенно если они якобы отправлены от имени государственных ведомств и регуляторов. Также рекомендуется включить отображение расширений файлов, чтобы избежать открытия вложений с маскирующимися или двойными расширениями, не соответствующими типу иконки.

Группировка Cloud Atlas действует с 2014 года и специализируется на кибершпионаже. Основными её целями традиционно выступают государственные учреждения различных стран, включая Россию. Ранее она уже отмечалась серией атак на российские исследовательские организации в ноябре-декабре 2023 года, а также атаками на госструктуры в III квартале 2022 года.

«Злоумышленники использовали скомпрометированные электронные адреса ранее заражённых организаций для рассылки вредоносных писем их контрагентам. Сами документы Microsoft Office, вероятнее всего, также были похищены из сетей ранее атакованных предприятий. На момент анализа эти вредоносные документы не обнаруживались классическими антивирусными средствами», — сообщил Виктор Казаков, ведущий специалист группы киберразведки PT ESC TI.

На одну крупную компанию приходится более 600 утекших учёток

В среднем на одну крупную российскую компанию приходится более 600 утекших корпоративных учётных записей. Причём больше половины из них уже гуляют по сети с паролями в открытом виде, выяснили эксперты Solar AURA. Исследование охватило десять крупнейших компаний из рейтинга РБК500.

Аналитики изучили почти 19,3 тыс. строк с корпоративными доменами и нашли 6194 уникальные учётки. У 3739 из них пароль был доступен открытым текстом.

Но есть важный нюанс: только в 4% случаев обнаружились признаки прямого взлома корпоративной инфраструктуры. В большинстве эпизодов сотрудники сами использовали рабочую почту и, возможно, те же пароли на маркетплейсах, форумах, обучающих сервисах и SaaS-платформах.

Киберпреступникам иногда даже не нужно ломиться в корпоративную сеть. Достаточно дождаться утечки с внешнего сайта и проверить, не подходит ли связка логин-пароль к рабочей системе.

Особенно весело, когда пароль короткий, цифровой или повторяется на нескольких ресурсах. Тогда в ход идут автоматический перебор, фишинг, атаки на службу поддержки и восстановление доступа через корпоративную почту.

Отдельно аналитики нашли более 12,6 тыс. строк с персональными данными сотрудников. Даже без пароля такая информация помогает делать убедительные письма и звонки: злоумышленник уже знает, как зовут человека, где он работает и от чьего имени лучше писать.

Эксперты советуют компаниям мониторить утечки, включать многофакторную аутентификацию и быстро блокировать скомпрометированные учётки.

RSS: Новости на портале Anti-Malware.ru