Компания F.A.C.C.T. выявила новые кибератаки на российские организации, которые были осуществлены хакерской группой Cloud Atlas. Целями злоумышленников стали агропромышленное предприятие и государственная исследовательская компания.
Cloud Atlas давно известна как прогосударственная APT-группа, которая занимается кибершпионажем и кражей конфиденциальных данных. По данным исследователей, активна как минимум с 2014 года. Основной метод атаки - точечная почтовая рассылка с вредоносным вложением. Чаще других целями Cloud Atlas становились промышленные предприятия и госкомпании в России, Беларуси, Азербайджане, Турции и Словении.
На этот раз для проникновения в системы злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.
В одном из писем от имени представителей «Московской городской организации Общероссийского профессионального союза работников государственных учреждений» хакеры предлагали организовать сбор открыток и поздравлений для военнослужащих и членам их семей. При этом указанные в письме контакты были реальные — их можно найти в свободном доступе.
Cloud Atlas давно известна как прогосударственная APT-группа, которая занимается кибершпионажем и кражей конфиденциальных данных. По данным исследователей, активна как минимум с 2014 года. Основной метод атаки - точечная почтовая рассылка с вредоносным вложением. Чаще других целями Cloud Atlas становились промышленные предприятия и госкомпании в России, Беларуси, Азербайджане, Турции и Словении.
На этот раз для проникновения в системы злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.
В одном из писем от имени представителей «Московской городской организации Общероссийского профессионального союза работников государственных учреждений» хакеры предлагали организовать сбор открыток и поздравлений для военнослужащих и членам их семей. При этом указанные в письме контакты были реальные — их можно найти в свободном доступе.
![](https://static.tildacdn.com/tild6235-6532-4038-b335-373465313832/9f49tgj468q4943ge3hl.png)
![](https://static.tildacdn.com/tild6339-3339-4264-a535-643138626230/kpf19qg4uipxo3izqp3l.png)
В другом случае - злоумышленники представились «Ассоциацией Учебных Центров» и использовали актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.
![](https://static.tildacdn.com/tild6566-3739-4334-b766-633266653364/m1dx78gc42qg7zvoeygw.png)
![](https://static.tildacdn.com/tild3463-3038-4631-b936-326636346533/97awxrray4fmr8426eu1.png)
По словам экспертов F.A.C.C.T., киллчейн в обоих случаях схож с тем, что привела в своем отчете Positive Technologies, но вдобавок использует альтернативные потоки данных.
![](https://static.tildacdn.com/tild6431-6634-4630-a263-323330383766/__3.png)