Шпионы среди писем — как кибератака на ОПК маскировалась под будничную переписку

На предприятия оборонно-промышленного комплекса России обрушилась новая волна кибершпионажа, инициированная известной группировкой Cloud Atlas. Как выяснили специалисты Positive Technologies, с конца 2024 года хакеры запустили масштабную фишинговую кампанию, маскируя вредоносные файлы под привычные деловые документы — от актов сверки до служебных записок. Всё было рассчитано на привычку доверять — адреса отправителей выглядели официально, а оформление писем ничем не отличалось от типовой переписки.

Особый акцент злоумышленники сделали на достоверности: вложения представляли собой украденные из ранее скомпрометированных систем документы, доработанные для внедрения вредоносного кода. Для рассылки использовались уже взломанные корпоративные почтовые ящики, что позволяло пройти фильтры и не вызвать подозрений у сотрудников. Сам вредонос, скрытый в файле, сразу после открытия подключался к управляющему серверу, обеспечивая хакерам полный контроль над заражённым устройством.

Исследователи зафиксировали активное наращивание инфраструктуры атаки: массовая генерация TLS-сертификатов, смена управляющих серверов и даже переключение на новые домены. Аналитики Positive Technologies отмечают, что в январе и феврале 2025 года наблюдался резкий рост активности, особенно в пятничные вечера — вероятно, чтобы воспользоваться сниженным вниманием сотрудников перед выходными. Один из задействованных доменов, как показал анализ в PT Sandbox, ранее уже фигурировал в атаках Cloud Atlas, что позволило аналитикам оперативно предупредить потенциальную жертву.

Чтобы не стать следующей мишенью, специалисты советуют внедрять защиту на уровне конечных точек и применять технологии вроде MaxPatrol EDR и PT Sandbox. Важно быть особенно внимательными к письмам от неизвестных отправителей с вложениями, замаскированными под документы, а также следить за расширениями файлов — вредонос часто скрывается под двойными или подменёнными форматами. Пока расследование продолжается, эксперты уже отслеживают действия злоумышленников в реальном времени, удерживая их инфраструктуру под наблюдением.