#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что JavaScript-скрипт, предназначенный для веб-скимминга, похищал данные кредитных карт во время транзакций электронной коммерции. Злоумышленники получили доступ с помощью вредоносного ПО infostealer, загрузили веб-оболочку на PHP для удаленного управления и внедрили вредоносный код в базу данных для постоянного выполнения. При эксфильтрации данных использовался объект Image в JavaScript для отправки конфиденциальной информации на сервер, контролируемый злоумышленником, с использованием методов обфускации, позволяющих избежать обнаружения.
-----

Анализ JavaScript-скрипта, обнаруженного во время реагирования на инцидент, показал, что он предназначен для кражи данных кредитных карт у пользователей во время онлайн-транзакций на сайте электронной коммерции. Этот вредоносный скрипт относится к категории атак "веб-скимминга" или "Magecart", при которых злоумышленники внедряют вредоносный код в скомпрометированные платформы электронной коммерции для перехвата конфиденциальной платежной информации, вводимой пользователями при оформлении заказа. Далее в статье анализируются методы обфускации кода, позволяющие обойти меры безопасности, и методы, используемые для передачи данных кредитных карт на удаленные серверы, контролируемые злоумышленниками.

Злоумышленники получили первоначальный доступ к серверной части сайта, похитив учетные данные с помощью вредоносной программы infostealer, которая предназначена для сбора конфиденциальных данных, таких как пароли и файлы cookie для аутентификации, с зараженных компьютеров. Получив учетные данные сервера, злоумышленники использовали эти привилегии для загрузки вредоносного PHP-скрипта на сервер. Этот PHP-файл функционирует как веб-оболочка, обеспечивая полный удаленный контроль над сервером и сохраняя работоспособность в системе, даже если исходные учетные данные будут отозваны. Реализуя эту веб-оболочку, злоумышленник обходит традиционные пути доступа к серверной части, позволяя неограниченно манипулировать таблицами базы данных.

Критический прием, использованный злоумышленником, заключался во внедрении скрытого вредоносного кода непосредственно в строку базы данных, что называется "загрязнением базы данных". Этот метод позволял злоумышленнику изменять поведение сайта и обеспечивать постоянное выполнение своего кода при каждом обращении к скомпрометированной строке базы данных. Внедренный код содержит поддельный "тег imager", который использует типичное поведение HTML-тегов, таких как загрузка изображений, для выполнения вредоносных действий, включая вызов сценариев или запросов к серверу, контролируемому атакой.

Расследование включает в себя статический анализ захваченного вредоносного скрипта для расшифровки используемых стратегий атаки, что помогает разработать эффективные подходы к устранению последствий. Код включает в себя различные методы обфускации наряду с основными функциями, которые обрабатывают ввод данных кредитной карты, проверку подлинности и идентификацию типа, что в конечном итоге облегчает фильтрацию конфиденциальной информации. Данные, включая адреса электронной почты, номера банковских карт, CVC-коды и даты истечения срока действия, упаковываются в объект, получивший название "structUserInfo", и впоследствии преобразуются в строку.

Фильтрация выполняется с использованием объекта Image в JavaScript и подключений к веб-сокетам. Вредоносный скрипт генерирует новый объект Image, который обычно содержит ссылки на изображения, но в данном случае используется для создания запросов к серверу, контролируемому злоумышленником. Скрипт создает URL-адрес запроса, используя метод, который считывает данные из памяти браузера для получения конечной точки сервера, добавляя к URL-адресу случайное число, чтобы предотвратить кэширование запроса. Такая тактика гарантирует, что результатом выполнения каждого скрипта будет уникальный запрос к удаленному серверу, что повышает вероятность успешной фильтрации данных и усложняет усилия по обнаружению.

Initial Access Brokers Report

#ParsedReport #CompletenessLow
17-04-2025

IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia

https://securelist.com/mysterysnail-new-version/116226/

Report completeness: Low

Actors/Campaigns:
Ironhusky

Threats:
Mysterysnail
Dll_sideloading_technique
Mysterymonosnail

Victims:
Government organizations

Industry:
Government

Geo:
Russia, Mongolia

CVEs:
CVE-2021-40449 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19086)
- microsoft windows 10 1607 (<10.0.14393.4704)
- microsoft windows 10 1809 (<10.0.17763.2237)
- microsoft windows 10 1909 (<10.0.18363.1854)
- microsoft windows 10 2004 (<10.0.19041.1288)
have more...

ChatGPT TTPs:
do not use without manual check
T1203, T1059, T1036, T1071.001, T1027, T1574.002, T1569, T1027.002, T1055.012

IOCs:
Domain: 2
File: 6

Soft:
Windows Explorer, Microsoft Word

Algorithms:
rc4, zip, xor

Platforms:
x86

Links:
https://github.com/nwtgck/piping-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вирус MysterySnail RAT, связанный с IronHusky APT, использует уязвимость CVE-2021-40449 и атакует государственные учреждения в Монголии и России с помощью вредоносного MMC-скрипта. В нем используется дополнительная загрузка библиотек DLL, расширенная защита от обфускации и модульная архитектура для обмена данными и сохранения данных на C2, а недавние изменения привели к созданию более легкого варианта MysteryMonoSnail, использующего WebSocket для уменьшения функциональности.
-----

MysterySnail RAT - это кибер-имплантат, связанный с IronHusky APT group, который, как полагают, работает как минимум с 2017 года. Первоначально обнаруженная в ходе расследования уязвимости нулевого дня CVE-2021-40449, эта вредоносная программа в течение нескольких лет не упоминалась в публичных отчетах. Недавно были замечены новые версии RAT, нацеленные на правительственные организации в Монголии и России, что подтверждает исторический интерес IronHusky к этим регионам.

В ходе недавних внедрений RAT был распространен с помощью вредоносного MMC-скрипта, замаскированного под документ Национального земельного агентства Монголии. В результате атаки пользователи загружали ZIP-файл, содержащий как подлинный документ, так и вредоносную полезную нагрузку. Законный исполняемый файл, идентифицированный как "CiscoCollabHost.exe`, сопровождался вредоносной библиотекой DLL "CiscoSparkLauncher.dll", которая использовала методы дополнительной загрузки библиотеки DLL для выполнения. Эта библиотека DLL функционирует как промежуточный бэкдор, позволяющий осуществлять обмен данными между командами и контролерами (C2) с использованием проекта конвейерного сервера с открытым исходным кодом.

Текущая версия MysterySnail RAT продолжает демонстрировать передовые методы обфускации. В ней используется зашифрованный файл "MYFC.log", загружаемый во время выполнения, для маскировки используемых функций Windows API, что усложняет процесс обратного проектирования. Этот бэкдор поддерживает множество команд, позволяющих злоумышленникам внедрять новые компоненты вредоносного ПО, такие как "sophosfilesubmitter.exe" и вредоносный код `fltlib.dll`. Заражение подтвердило, что RAT продолжает работать на взломанных компьютерах, зарегистрировавшись в качестве службы.

В MysterySnail RAT используется сложное выполнение команд, а в обновленных версиях используется модульная архитектура. Эта архитектура отличается от однокомпонентного подхода, использовавшегося в предыдущих версиях, и состоит из пяти дополнительных библиотечных модулей для выполнения команд. Несмотря на то, что между обновлениями прошли годы, внутренние структуры бэкдора претерпели минимальные изменения, а переход на дополнительные модули соответствует более ранним выводам.

После недавних сбоев, с которыми столкнулась эта вредоносная программа, злоумышленники начали развертывать более легкую версию, получившую название MysteryMonoSnail, которая уменьшила общую функциональность, но использовала аналогичную структуру команд и сохраняла связь с теми же серверами C2, хотя и по протоколу WebSocket вместо HTTP. Эта упрощенная версия содержит всего 13 команд, предназначенных для выполнения основных задач, таких как манипулирование файлами и выполнение процессов.

Устойчивость MysterySnail RAT и ее минимальная эволюция на протяжении нескольких лет подчеркивают важность постоянной оценки угроз для более старых семейств вредоносных программ. Это подчеркивает необходимость поддерживать возможности обнаружения ранее существовавших вредоносных программ, поскольку хакеры могут оставаться пассивными, но в то же время активными, уклоняясь от обнаружения и сохраняя потенциал для будущих атак.

#ParsedReport #CompletenessMedium
15-04-2025

BRICKSTORM Backdoor Analysis

https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf

Report completeness: Medium

Actors/Campaigns:
Unc5221 (motivation: cyber_espionage)

Threats:
Brickstorm

Industry:
Education, Critical_infrastructure, Military

Geo:
Belgium, Germany, Austria, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1203, T1573, T1024, T1105, T1572, T1071.004, T1008

IOCs:
Domain: 3
IP: 1
File: 13
Coin: 1
Hash: 2

Soft:
Linux, goftp, Microsoft Defender

Algorithms:
md5, sha1, sha256, base64

Functions:
CreateUACExplorer

Languages:
golang

YARA: Found

Links:
https://github.com/xtaci/smux
https://github.com/hashicorp/yamux
have more...
https://github.com/gorilla/mux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BRICKSTORM - это скрытая вредоносная программа с бэкдором, связанная с китайским хакером UNC5221, которая теперь нацелена на системы Windows после предыдущих ограничений Linux. Он использует DNS через HTTPS для связи C2, использует Go для кодирования и позволяет манипулировать файлами и сетью, обходя обнаружение с помощью передовых методов, таких как запланированные задачи и вложенные TLS-соединения.
-----

В отчете представлен технический анализ вредоносного ПО BRICKSTORM, бэкдора, связанного с китайским хакерским кластером UNC5221, который теперь был обнаружен в средах Windows, после того как предыдущие обнаружения были ограничены Linux. Эти недавно обнаруженные варианты нацелены на европейские отрасли, имеющие стратегическое значение для Китайской Народной Республики, и являются частью продолжающихся кампаний кибершпионажа, которые начнутся как минимум с 2022 года. В отличие от типичных кибервзломов, направленных на вымогательство, BRICKSTORM работает с высокой степенью скрытности, что позволяет ему оставаться незамеченным в течение длительного времени, в частности, за счет использования неизвестных уязвимостей и малошумных бэкдоров.

BRICKSTORM предлагает возможности для управления файлами и сетевого туннелирования, позволяя злоумышленникам просматривать файловые системы и манипулировать ими, а также облегчать перемещение по сетям. Он взаимодействует с серверами Command & Control (C2) с использованием DNS по протоколу HTTPS (DoH), что усложняет усилия по обнаружению. Последние версии были запрограммированы на Go и используют механизмы сохранения, такие как запланированные задачи, для обеспечения выполнения. Вредоносная программа устанавливает защищенную связь через вложенные TLS-соединения после запуска WebSocket и использует пользовательское подтверждение подлинности для аутентификации, обходя обычные меры безопасности, такие как проверка подлинности сертификата.

Доступ к функциям управления файлами вредоносной программы осуществляется через элементарный HTTP API, который позволяет злоумышленникам выполнять целый ряд действий, включая загрузку файлов, скачивание, переименование и удаление, что упрощается с помощью пользовательского интерфейса, обслуживаемого самой вредоносной программой. BRICKSTORM также включает в себя возможности сетевого туннелирования, которые позволяют ретранслировать трафик по таким протоколам, как RDP и SMB, используя действительные учетные данные для обеспечения скрытности при косвенном выполнении команд. Это намеренное уклонение от прямого выполнения команд с черного хода направлено на снижение вероятности обнаружения с помощью решений для мониторинга безопасности.

Кроме того, гибкость BRICKSTORM проявляется в ее конфигурациях, которые позволяют злоумышленникам внедрять IP-адреса облачных провайдеров и другие параметры, необходимые для безопасного установления соединений. Было обнаружено, что вредоносное ПО использует различные общедоступные службы Министерства здравоохранения для разрешения доменных имен, тем самым обходя традиционные методы мониторинга сети. Инфраструктура управления часто размещается на бессерверных платформах, таких как Cloudflare и Heroku, что еще больше ограничивает возможности использования бэкдора, поскольку легальный трафик может легко вписаться в обычный объем использования инфраструктуры.

Стратегии смягчения последствий, подчеркнутые в отчете, включают повышенную бдительность в отношении необычных длительных процессов в системах, внедрение передовых методов поиска угроз и установление правил обнаружения вторжений, специально предназначенных для известных подключений BRICKSTORM C2. Сложный характер BRICKSTORM подчеркивает меняющийся ландшафт угроз, где использование передовых протоколов и скрытных операций создает серьезные проблемы для групп реагирования на инциденты.

#ParsedReport #CompletenessHigh
17-04-2025

Around the World in 90 Days: State-Sponsored Actors Try ClickFix

https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Muddywater (motivation: cyber_espionage)
Unk_remoterogue
Fancy_bear
Ta571

Threats:
Clickfix_technique
Clearfake
Quasar_rat
Pdq_connect_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
Empire_loader
Metasploit_tool

Industry:
Telco, Financial, Government

Geo:
North korean, North korea, Japan, Israel, Iran, Japanese, Russian, Ukrainian, Middle east, Iranian, China, Korean, Saudi arabia, Russia, Asia, Chinese, Korea

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1566, T1053, T1564

IOCs:
File: 2
Command: 1
Url: 12
IP: 11
Email: 3
Domain: 26
Hash: 9

Soft:
Zimbra, Microsoft Office, Microsoft Word, Office 365

Algorithms:
sha256, xor, base64

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, chart: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемые государством субъекты из Северной Кореи, Ирана и России используют технологию социальной инженерии ClickFix, которая традиционно ассоциируется с киберпреступностью, для улучшения методов доставки вредоносных программ. Этот метод побуждает пользователей выполнять вредоносные команды PowerShell, что приводит к развертыванию вредоносных программ, таких как QuasarRAT и средства удаленного управления. Интеграция ClickFix свидетельствует о том, что государственные структуры перенимают и адаптируют методы киберпреступников, что свидетельствует об изменении ландшафта угроз.
-----

Спонсируемые государством субъекты начали использовать технологию социальной инженерии ClickFix, которая традиционно ассоциируется с киберпреступностью. Северокорейские, иранские и российские группы, включая TA427, TA450, UNK_RemoteRogue и TA422, включили ClickFix в свои кампании в период с конца 2024 по начало 2025 года. ClickFix изменяет цепочки заражения, уделяя особое внимание этапам установки и выполнения, не изменяя общей структуры атаки. Он предлагает пользователям выполнять вредоносные команды с помощью диалоговых окон, замаскированных под сообщения об ошибках. TA571 и ClearFake cluster впервые внедрили ClickFix в марте 2024 года. TA427 использовал ClickFix для нацеливания на сотрудников аналитических центров, связанных с Северной Кореей, заставляя жертв выполнять команды PowerShell, которые запускали вредоносное ПО QuasarRAT. TA450 рассылал организациям на Ближнем Востоке фишинговые электронные письма, замаскированные под обновления системы безопасности Microsoft, заставляя пользователей устанавливать средства удаленного управления, в том числе новый инструмент Level. UNK_RemoteRogue нацелился на оборонную промышленность, используя ClickFix для взлома почтовых серверов, чтобы доставлять вредоносные ссылки, которые вызывали запуск PowerShell. TA422, связанный с группой Sofacy, использовал ClickFix в фишинговых атаках для создания SSH-туннеля. Разнообразие тактик этих групп указывает на то, что спонсируемые государством субъекты адаптируют методы киберпреступников. Использование ClickFix позволяет предположить, что эти субъекты могут вернуться к традиционным методам, что указывает на то, что кампании могут служить скорее испытаниями, чем фундаментальными изменениями. Отсутствие ClickFix у китайских государственных структур указывает на различия в поведении хакеров по всему миру и потенциальные области для дальнейшего изучения в области хакерской разведки.

#ParsedReport #CompletenessHigh
18-04-2025

Team46 and TaxOff: Two Sides of the Same Coin

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/

Report completeness: High

Actors/Campaigns:
Team46
Taxoff

Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader

CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 10
Technics: 26

IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12

Soft:
Chrome, Yandex Browser

Algorithms:
chacha20, sha256, base64, zip, aes, aes-256

Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW

Languages:
powershell, php

Platforms:
x64

Links:
https://github.com/TheWover/donut

#ParsedReport #CompletenessLow
18-04-2025

npm Malware Targets Telegram Bot Developers with Persistent SSH Backdoors

https://socket.dev/blog/npm-malware-targets-telegram-bot-developers

Report completeness: Low

Threats:
Typosquatting_technique
Starjacking_technique
Supply_chain_technique

Victims:
Linux developer machines

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 7
Domain: 1

Soft:
Telegram, Linux, Google Play, Gatekeeper, Node.js Telegram

Functions:
addBotId, getBotId

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена атака на цепочку поставок, использующая вредоносные пакеты npm, которые выдают себя за библиотеки ботов Telegram, для установки SSH-бэкдоров в системах Linux. Эти пакеты позволяют злоумышленникам получать постоянный доступ и извлекать данные со взломанных компьютеров, выявляя уязвимости в немодерируемых экосистемах и острую необходимость в мерах безопасности цепочки поставок программного обеспечения.
-----

Недавнее расследование, проведенное исследователями угроз, выявило атаку на цепочку поставок с использованием вредоносных пакетов npm, которые маскируются под законные библиотеки ботов Telegram. Эти пакеты с опечатками, предназначенные для разработчиков, использующих широко распространенную библиотеку node-telegram-bot-api, устанавливают SSH-бэкдоры в системах Linux и могут извлекать данные со взломанных компьютеров разработчиков. С начала 2025 года несколько вредоносных версий, таких как node-telegram-utils и node-telegram-bots-api, в совокупности набрали около 300 загрузок, демонстрируя уязвимость, при которой даже небольшое количество установок может привести к серьезным нарушениям безопасности.

Атака использует немодерируемую экосистему ботов Telegram, позволяя любому создавать и распространять ботов без официальной проверки. Отсутствие контроля облегчает злоумышленникам распространение поддельных или вредоносных пакетов, имитирующих надежные библиотеки, что позволяет эффективно обманывать разработчиков. Нелегитимные пакеты копируют содержимое из файла README реальной библиотеки, что не только создает обманчивое чувство доверия, но и отсылает к законному репозиторию GitHub, повышая популярность и авторитет реального проекта.

После установки вредоносного пакета он запускает скрытую функцию addBotId(), которая работает только на платформах Linux, то есть автоматически выполняет свои действия без участия пользователя. Эта функция изменяет авторизованные ключи в файле конфигурации SSH, чтобы ввести два предоставленных злоумышленником SSH-ключа, обеспечивая постоянный удаленный доступ без пароля. Если один ключ удален, другой остается и все еще может быть использован злоумышленниками. Кроме того, вредоносная программа извлекает конфиденциальную информацию, такую как внешний IP-адрес системы и имя пользователя, и немедленно отправляет сообщение на внешний сервер для подтверждения компрометации.

Наличие вредоносного кода, скрытого в законном коде, представляет значительный риск, поскольку вредоносное поведение может остаться незамеченным разработчиками. Простое удаление вредоносного пакета не снижает риск, поскольку введенные SSH-ключи остаются, обеспечивая постоянный несанкционированный доступ.

Полученные данные указывают на более широкую тенденцию к тому, что хакеры успешно используют экосистемы с открытым исходным кодом, такие как npm, для распространения вредоносных программ, замаскированных под безопасные средства разработки. Эта ситуация подчеркивает критическую важность обеспечения безопасности цепочки поставок программного обеспечения, а разработчикам и организациям рекомендуется регулярно проводить аудит зависимостей и использовать автоматизированные средства сканирования для выявления потенциальных угроз и реагирования на них. Усовершенствованные меры безопасности, такие как мониторинг запросов на обновление в режиме реального времени, обнаружение уязвимостей в процессе сборки и упреждающий анализ просмотра, могут существенно снизить риск нарушения цепочки поставок программного обеспечения.

#ParsedReport #CompletenessHigh
18-04-2025

New Wave of Cyberattacks by APT Group Cloud Atlas on Russian Public Sector

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/novaya-volna-kiberatak-apt-gruppirovki-cloud-atlas-na-gosudarstvennyj-sektor-rossii

Report completeness: High

Actors/Campaigns:
Cloudatlas

Threats:
Powershower_tool
Vbshower_tool
Spear-phishing_technique
Dll_sideloading_technique
Bec_technique
Rtcpproxy_tool

Victims:
Russian government agencies, Russian defense industry enterprise, Enterprises of the russian military-industrial complex, Russian public sector, Previously infected institutions and enterprises

Industry:
Military, Government

Geo:
Azerbaijan, Belarus, Russian, Slovenia, Turkey, Russia

TTPs:
Tactics: 9
Technics: 34

IOCs:
Hash: 18
Domain: 4
Registry: 3
File: 4
IP: 4

Soft:
Component Object Model, Microsoft Office, Windows registry

Algorithms:
aes

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа разработчиков Cloud Atlas APT нацелена на российские сети государственного сектора, используя украденные шаблоны Microsoft Office для создания необнаруживаемых вредоносных документов для BEC-атак. Их изощренные методы включают удаление метаданных и скрытую инфраструктуру управления документами, что указывает на растущую угрозу военно-промышленному сектору.
-----

Группа Cloud Atlas APT в последнее время активизировала свои кибератаки, в частности, на российские сети государственного сектора и предприятия военно-промышленного комплекса. Эта группа использует сложные методы, в том числе создает собственные вредоносные файлы на основе украденных шаблонов Microsoft Office, чтобы избежать обнаружения. Из этих документов удалены метаданные, чтобы скрыть их происхождение и снизить вероятность выявления ранее скомпрометированных организаций. Cloud Atlas group использует скомпрометированные учетные записи электронной почты для проведения атак на коммерческую электронную почту (BEC), что позволяет обмениваться данными между зараженными предприятиями и их филиалами.

В ноябре 2024 года российское правительственное учреждение привлекло группу реагирования на инциденты для устранения кибератаки, которая привела к выявлению вредоносной инфраструктуры Cloud Atlas. Средства киберразведки обнаружили активную атаку, когда было подтверждено, что вредоносный документ инициирует подключение к командному центру группы. Время для атаки, которая произошла в конце рабочей недели, вероятно, было выбрано таким образом, чтобы использовать периоды снижения бдительности сотрудников и обеспечить злоумышленникам беспрепятственный доступ в выходные дни.

Последующий анализ показал, что встроенная инфраструктура контроля в этих вредоносных документах последовательно следовала шаблону — информация была скрыта в потоке "1Table" в файлах Microsoft Office. В январе 2025 года была выявлена еще одна атака, в ходе которой аналогичный вредоносный документ был отправлен на российское оборонное предприятие, что указывает на постоянную нацеленность группировки на этот сектор. Примечательно, что инфраструктура злоумышленников отличалась высокой степенью изощренности, включая сервер IMAP, активированный для рассылки вредоносной электронной почты, использующий шифрование TLS для уклонения от мониторинга.

Проверка вредоносных документов, использованных Cloud Atlas, показала, что они содержат различные профессиональные и правительственные материалы, которые могут легко ввести в заблуждение получателей. Среди них были приглашения на учебные курсы и документы, касающиеся борьбы с коррупцией. Детальное расследование выявило многочисленные признаки, свидетельствующие о том, что эти документы были созданы на основе закрытых правительственных материалов, в которые были внесены изменения, чтобы избежать раскрытия информации после реальных попыток кибератак. Аналогичным образом, многие документы были помечены устаревшими датами и вымышленными событиями, что повысило доверие к официальным сообщениям.

С 2019 года Positive Technologies проводит мониторинг Cloud Atlas, отмечая значительный сдвиг в фокусе внимания группы в сторону России с 2024 года, что указывает на растущий уровень угрозы. Их постоянная бдительность и своевременные предупреждения о надвигающихся хакерских атаках подчеркивают меняющиеся стратегии группы и высокий риск, который они представляют для российских учреждений. Вероятность дальнейших атак остается значительной, о чем свидетельствует регистрация новых сертификатов TLS для вредоносной инфраструктуры, что говорит о том, что Cloud Atlas продолжает совершенствовать и адаптировать свои методы для будущих кампаний.