Эксперты Positive Technologies предотвратили новую волну кибератак на предприятия ОПК. Злоумышленники использовали фишинговые письма с вредоносными вложениями, замаскированными под официальные документы.
Эксперты Positive Technologies обнаружили новую киберкампанию APT-группировки Cloud Atlas, направленную против предприятий российского оборонно-промышленного комплекса. Благодаря своевременному выявлению угрозы удалось предотвратить атаки на пользователей продуктов компании и предупредить другие организации. В конце 2024 — начале 2025 года группа киберразведки PT ESC TI выявила фишинговые письма с вредоносными вложениями, замаскированными под официальные документы: приглашения на курсы повышения квалификации, справки о сотрудниках и акты сверки. Все файлы использовали типичные для Cloud Atlas методы сокрытия данных об управляющей инфраструктуре.
В конце января аналитики обнаружили похожий документ, отправленный с другого сервера. Это позволило выявить новую инфраструктуру злоумышленников и начать ее мониторинг, что дало возможность отслеживать атаки в реальном времени. В феврале 2025 года зафиксировано появление нескольких новых TLS-сертификатов, что указывает на подготовку к дальнейшим атакам. Positive Technologies прогнозирует сохранение высокой активности Cloud Atlas и рекомендует использовать антивирусы, песочницы и средства защиты.
«Злоумышленники использовали скомпрометированные электронные адреса ранее зараженных организаций для отправки вредоносных писем контрагентам. Сами же документы Microsoft Office, вероятнее всего, также были украдены из сетей ранее атакованных предприятий. На момент проведения исследования обнаруженные вредоносные документы не детектировались классическими средствами антивирусной защиты».
Виктор Казаков, ведущий специалист группы киберразведки PT ESC TI
Пользователям советуют быть внимательными к подозрительным письмам: проверять отправителя, особенно если нет истории переписки, обращать внимание на срочность, манипуляции с названиями госучреждений и нестандартные домены. Также важно включить отображение расширений файлов и не открывать вложения с подозрительными иконками или двойными расширениями. Эти меры помогут снизить риски заражения.