В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies обнаружил очередную кампанию APT-группировки CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.

Однако кампания отличалась использованием цепочек из oEmbed-запросов и скомпрометированных легитимных веб-ресурсов как транспортного слоя для загрузки полезной нагрузки, что усложняло выявление и атрибуцию канала доставки вредоносного ПО.

Дополнительный интерес представляет нетипичный таргетинг: наряду с кибератаками на российские объекты энергетической, оборонно-промышленной и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.

Описание атаки и инструментов

Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб-ресурсов в национальных доменных зонах Бразилии, Аргентины и Индонезии (о появлении у группировки этой техники TI-департамент PT ESC сообщал в апреле 2026 года в исследовании связи CloudAtlas с брокером первоначального доступа Mustard Tempest).

Однако в новой кампании группировка вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed-запросов формата [LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL] для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами. Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.

Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.

Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA-дроппер, выполняющий следующие действия на зараженном хосте:

  • создание директории %APPDATA%\Microsoft\Windows\WebCache\;

  • извлечение в созданную директорию комплекта дополнительных вредоносных модулей из трех файлов: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs;

  • закрепление в скомпрометированной системе путем прописывания в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска VBS-скрипта WebCachea54.vbs: wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs";

  • запуск выполнения VBS-скриптов WebCachea54.vbs и WebCachea54tmp0.vbs.

Файл WebCachea54.vbs является VBS-дроппером второй стадии, который при запуске на зараженном хосте выполняет следующие действия:

  • создает объект с CLSID = {0D43FE01-F093-11CF-8940-00A0C9054228} (FileSystemObject);

  • создает словарь для декодирования hex-символов;

  • извлекает закодированную в файле WebCachea54.jfm строку и декодирует ее в VBS-скрипт, предварительно удаляя вставки символа l;

  • запускает декодированный VBS-скрипт командой Execute.

Извлеченный из JFM-файла VBS-скрипт является дроппером третьей стадии: также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.

Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS-лоадер, который с использованием WMI-функций выполняет следующие действия на зараженном хосте:

  1. Получает информацию о пользователе зараженного хоста;

  2. Формирует HTTP-заголовок User-Agent с эксфильтрацией информации о пользователе зараженного хоста: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86;

  3. Используя HTTP-заголовок User-Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed-запроса к промежуточному легитимному WordPress-сайту с открытым API-эндпойнтом

    wp-json/oembed/1.0/embed/url=;

  4. Осуществляет XOR-расшифровку загруженной полезной нагрузки;

  5. Сохраняет полезную нагрузку в директорию %APPDATA%\Microsoft\Windows\WebCache\;

  6. Закрепляет полезную нагрузку в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run в параметр TrustedInstaller.

При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP-запросов к вредоносной инфраструктуре.

Для защиты от обнаружения в лоадере командой WScript.Sleep реализованы произвольные длительные временные задержки между выполнением участков вредоносного кода.

Итоговой полезной нагрузкой, загружаемой VBS-лоадером, являются инструменты из личного арсенала группировки CloudAtlas — загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2-инфраструктурой через сервис Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed-запросы и промежуточные легитимные веб-ресурсы.

Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей, выполняя следующие действия на зараженном хосте:

  1. Проверка наличия директорий:

    • %APPDATA%\..\Local\Temp

    • %APPDATA%\..\Local\Microsoft\Windows

    • %APPDATA%\..\Local\Microsoft\Windows\INetCache

    • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files

    • %APPDATA%\..\Local\Temporary Internet Files

  2. Удаление файлов с расширением .hta в директории %APPDATA%\..\Local\Temp

    1) Очистка директорий:

    • %APPDATA%\..\Local\Temporary Internet Files

    • %APPDATA%\..\Local\Microsoft\Windows\INetCache

    • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files

    • %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\

Заключение

Занимающаяся кибершпионажем группировка CloudAtlas является одной из наиболее устойчивых, агрессивных и технически развитых киберугроз для российской критической инфраструктуры. Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб-ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов. Эта техника позволяет маскировать истинное назначение сетевых соединений и усложнить сигнатурное детектирование кибератак.

Эффективная защита от подобных устойчивых сложных угроз может быть обеспечена исключительно путем использования комплексных решений, сочетающих в себе ранее накопленную детектирующую экспертизу и актуальные данные киберразведки. TI-департамент PT ESC продолжит отслеживать активность группировки, своевременно предупреждать потенциальных жертв о готовящихся кибератаках и поставлять уникальные данные киберразведки пользователям продуктов Positive Technologies и портала PT Fusion.

Рекомендации по защите

В целях защиты от кибератак APT-группировки CloudAtlas рекомендуется:

  • Использовать лицензированные средства антивирусной защиты с актуальными и регулярно обновляемыми базами сигнатур.

  • Проверять с помощью средств антивирусной защиты вложения в электронных письмах, поступающих от недоверенных и подозрительных отправителей. Насторожиться стоит, если отсутствует история переписки с отправителем, а также если отправитель не является контрагентом, использует электронный адрес с нестандартным доменом, акцентирует внимание на срочности изучения документов, особенно подчеркивает названия государственных учреждений, регулирующих органов, надзорных ведомств.

  • Не открывать защищенные паролями архивы и вложенные файлы без их предварительной проверки средствами антивирусной защиты.

  • Отключить сокрытие расширений файлов, проверять реальные расширения файлов: не открывать файлы, значок которых не соответствует реальному расширению файла; не открывать файлы, содержащие в конце названия несколько расширений, разделенных точкой.

  • Регулярно обучать сотрудников безопасному использованию электронной почты и противодействию методам социальной инженерии.

Индикаторы компрометации

Сетевые индикаторы (легитимные скомпрометированные ресурсы)

cliente.k4marcas.com.br

cendekiaterpadu.org

elrionosune.unlu.edu.ar

Файловые индикаторы

Документы Microsoft Office

b8ec70e9a8655e7eebaae2207ab70cd9197baeb707db7db32b1facb81a53352f

8be68dea337a1e7ab1224a10c3c6ca640d55292d135194a5e5ec9454b3bda906

653520c24e3ad044c00503e3debccefaac3a6fdf76c5ca40b47b937fdbd389a7

c51342db84605e2fe80d20e82bc129d734f8bfb0c0d3d953d2a26b48c132e5de

HTA-дроппер

fc5172aafa4f3978d7fbbbf0611ae5e40da399196010bcc1a50b09ac42fe9e43

VBS-дроппер второй стадии

fe4b748c3bccbb01199e72c5a90498705b779a65fcfc8dff08a4eb6f8049f80c

JFM-файл с закодированным кодом

072bcbf1fd1832b3c6accbeac0090d92e88db84866ea9665c5570d17c621b3a0

Загрузчик PowerCloud

fe320c25eacd86f3e2b706bf63790c178a55615fbd88282b76f8b3fe455c64c4

1d65d11bb51a8e667f22c7ab2f8829b30b4b80ac3a7bccac419851160a926177

c537d6e07f303c5aa1a52a6da1d7a33c80d94ecb52127ba68fe74e7345e6bf83

VBS-скрипт удаления следов кибератаки

30344a87b91ec8454e0da15fe5218bd9f1bcce78169bbe9503fec147e37974ab

Названия файлов

WebCachea54.jfm

WebCachea54.vbs

WebCachea54tmp0.vbs

Директории

\Microsoft\Windows\WebCache

\Microsoft\Windows\INetCache

\Microsoft\Windows\Temporary Internet Files\Content.Word

Реестр Windows

Ключ: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Значение: TrustedInstaller

Ключевые TTPs

ID

Название

Описание

Initial Access

T1566.001

Phishing: Spearphishing Attachment

CloudAtlas для получения первоначального доступа в атакуемую систему использует таргетированную email-рассылку вредоносных документов Microsoft Office

T1659

Content Injection

CloudAtlas внедряет вредоносный контент в скомпрометированные легитимные ресурсы и загружает его на зараженный хост с использованием цепочки oEmbed-запросов

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

Execution

T1059.005

Command and Scripting Interpreter: Visual Basic

CloudAtlas использует вредоносные VBS-скрипты WebCachea54.vbs и WebCachea54tmp0.vbs, запускаемые командой wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs"

T1059.007

Command and Scripting Interpreter: JavaScript

CloudAtlas использует обфусцированные HTA-дропперы для распаковки в скомпрометированной системе вредоносных VBS-скриптов WebCachea54.vbs и WebCachea54tmp0.vbs и JFM-файла WebCachea54.jfm с закодированной полезной нагрузкой

T1047

Windows Management Instrumentation

CloudAtlas использует WMI-функции для сбора информации о зараженном хосте и редактирования ключей реестра Windows

Persistence

T1547.001

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

CloudAtlas закрепляется в скомпрометированной системе путем записи в ключе реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска VBS-дроппера WebCachea54.vbs:

wscript //B "%APPDATA%\Microsoft\Windows\WebCache\WebCachea54.vbs"

CloudAtlas закрепляется в скомпрометированной системе путем записи в параметр TrustedInstaller ключа реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run команды автозапуска загрузчика VBShower

Stealth

T1221

Template Injection

CloudAtlas использует технику внедрения удаленных шаблонов для сокрытия вредоносной нагрузки

T1027

Obfuscated Files or Information

CloudAtlas использует обфусцированные вредоносные VBS/HTA-файлы

T1027.004

Obfuscated Files or Information: Compile After Delivery

CloudAtlas извлекает вредоносный код из тела JFM-файлов и VBS/HTA-дропперов после их доставки в скомпрометированную систему

T1027.009

Obfuscated Files or Information: Embedded Payloads

CloudAtlas размещает закодированный в Base64 и обфусцированный код полезной нагрузки в теле JFM-файлов и VBS/HTA-дропперов

T1027.013

Obfuscated Files or Information: Encrypted/Encoded File

CloudAtlas использует XOR-шифрование и Base64-кодирование кода полезной нагрузки

T1497.003

Virtualization/Sandbox Evasion: Time Based Evasion

CloudAtlas с использованием команды WScript.Sleep реализует произвольные длительные временные задержки между выполнением участков кода и вызовом WMI-функций

T1070.004

Indicator Removal on Host: File Deletion

CloudAtlas использует VBS-скрипт WebCachea54tmp0.vbs для очистки содержимого следующих директорий:

·       %APPDATA%\..\Local\Temp

·       %APPDATA%\..\Local\Temporary Internet Files

·       %APPDATA%\..\Local\Microsoft\Windows\INetCache

·       %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files

·       %APPDATA%\..\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\

Discovery

T1082

System Information Discovery

CloudAtlas использует WMI-функции для сбора информации о зараженном хосте

Command and Control

T1102.002

Web Service: Bidirectional Communication

CloudAtlas использует механизм oEmbed-запросов для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты в национальных доменных зонах Бразилии, Аргентины, Индонезии с открытыми API-эндпойнтами /wp-json/oembed/1.0/embed/

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

T1665

Hide Infrastructure

CloudAtlas скрывает вредоносную инфраструктуру с полезной нагрузкой путем использования легитимных веб-ресурсов с открытыми oEmbed API-эндпойнтами в качестве промежуточных звеньев канала доставки

[LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL]

Exfiltration

T1041

Exfiltration Over C2 Channel

CloudAtlas передает информацию о зараженном хосте C2-инфраструктуре с использованием модифицированного HTTP-заголовка User-Agent:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86

Департамент Threat Intelligence экспертного центра безопасности Positive Technologies

Комментарии (1)


  1. Tuesok
    13.07.2026 11:23

    А Ирак-то каким образом попал в цели? Кто-то у хакеров перепутал Ирак с Ираном? )))