«Яндекс.Браузер» ни при чём. Касперский выяснил, под какой легитимный софт маскируется Cloud Atlas в госорганах России и Беларуси
NewsMakerCloud Atlas строит запасные каналы доступа, которые переживают любую «чистку».
Cloud Atlas снова атакует организации в России и Беларуси. Группировка, известная с 2014 года, рассылает фишинговые письма, закрепляется в заражённых системах и создаёт запасные каналы доступа, чтобы не потерять контроль даже после обнаружения вредоносных программ.
Во второй половине 2025 года и в начале 2026 года активность Cloud Atlas затронула государственные структуры, дипломатические организации и коммерческие компании. Атаки начинались с писем, к которым прикладывали ZIP-архивы. Внутри находились вредоносные ярлыки LNK, запускавшие сценарии PowerShell с внешних серверов.
После запуска вредоносный сценарий действовал поэтапно. Сначала он сохранял на компьютере файл fixed.ps1, чтобы основной код мог выполниться даже при проблемах с подключением к серверу злоумышленников. Затем сценарий добавлял в реестр Windows ключ автозапуска YandexBrowser_setup, скачивал архив rar.zip и извлекал из него PDF-документ-приманку. Документ открывался в обычной программе пользователя, чтобы создать видимость нормальной работы и выиграть время для фоновых действий.
Параллельно сценарий завершал процесс WinRAR, удалял архив, ярлык и другие следы первичного заражения, после чего запускал fixed.ps1. Такой порядок позволял сначала закрепиться в системе и отвлечь пользователя, а уже потом передать управление основному вредоносному коду.
После запуска сценарий сохранял в системе основной загрузчик, добавлял себя в автозапуск через раздел Run в реестре Windows, открывал приманку в виде PDF-документа и удалял следы первичного заражения. Такой подход помогал отвлечь пользователя и дать вредоносному коду время действовать дальше.
Основной загрузчик устанавливал несколько инструментов Cloud Atlas. Среди них были VBCloud и PowerShower. VBCloud похищал файлы, включая документы DOC, PDF и XLS, а PowerShower помогал изучать сеть жертвы, собирать сведения о процессах, администраторах и контроллерах домена, загружать дополнительные сценарии и проводить атаки на учётные записи Active Directory .
Cloud Atlas также использовала отдельный сценарий, чтобы красть учётные данные. Вредоносный код создавал теневую копию диска C, копировал системные файлы SAM и SECURITY, где хранятся хэши паролей локальных пользователей, и маскировал скопированные данные под PDF-файлы. Чтобы запуститься с повышенными правами, вредонос обходил контроль учётных записей через штатную утилиту Windows fodhelper.exe.
Во время перемещения по сети злоумышленники запускали сценарий, который изменял библиотеку termsrv.dll и позволял нескольким сеансам одновременно работать через удалённый рабочий стол. Благодаря такой доработке атакующие могли оставаться на компьютере, не отключая законного пользователя, что снижало риск быть обнаруженными.
Отдельную роль в кампании сыграли обратные туннели SSH. Заражённый компьютер сам подключался к серверу злоумышленников, что помогало обходить обычные правила межсетевого экрана. Чтобы установить такие туннели, Cloud Atlas запускала сценарии VBS через PAExec или PsExec, создавала задачи в планировщике Windows и меняла права доступа к папкам с закрытыми ключами.
Специалисты Лаборатории Касперского также нашли изменённые сборки OpenSSH. В некоторых случаях исполняемый файл вместо стандартной библиотеки libcrypto.dll загружал файл syruntime.dll, размещённый рядом с ним. Такой приём мог помогать скрывать активность от средств защиты. Кроме SSH, Cloud Atlas применяла RevSocks – инструмент, который создаёт туннели и прокси-соединения, – а также Tor. В отдельных случаях заражённая машина становилась доступна по удалённому рабочему столу через домен .onion.
Новый инструмент группировки получил название PowerCloud. Он запускался с правами администратора, собирал сведения о пользователях и администраторах на заражённом компьютере, кодировал данные в Base64 и записывал их в Google Таблицы. В большинстве случаев PowerCloud упаковывали в исполняемый файл с помощью PS2EXE, хотя встречались и варианты в виде отдельного сценария PowerShell.
Ещё один инструмент проверял, запущены ли браузеры Chrome, Edge, Firefox и другие. Такая проверка могла помогать понять, работает ли пользователь за компьютером, или выбрать удобный момент для дальнейших действий. Найденные сведения сохранялись в журнале на заражённом узле.
Авторы отчёта связывают кампанию с Cloud Atlas с высокой степенью уверенности. На атрибуцию указывают уже известные приёмы группировки, включая фишинг, вредоносные документы, Tor для перенаправления портов, а также совпадение целей и географии атак. При этом специалисты заметили пересечения с активностью Head Mare , но наборы техник по-прежнему различаются.
Cloud Atlas работает больше десяти лет и продолжает расширять арсенал. Опираясь на общедоступные утилиты вроде SSH, RevSocks и Tor, группировка делает атаки живучими, а полностью зачистить заражённые системы становится заметно сложнее: даже если основной вредоносный код удалят, у злоумышленников может остаться запасной канал доступа.
Cloud Atlas снова атакует организации в России и Беларуси. Группировка, известная с 2014 года, рассылает фишинговые письма, закрепляется в заражённых системах и создаёт запасные каналы доступа, чтобы не потерять контроль даже после обнаружения вредоносных программ.
Во второй половине 2025 года и в начале 2026 года активность Cloud Atlas затронула государственные структуры, дипломатические организации и коммерческие компании. Атаки начинались с писем, к которым прикладывали ZIP-архивы. Внутри находились вредоносные ярлыки LNK, запускавшие сценарии PowerShell с внешних серверов.
После запуска вредоносный сценарий действовал поэтапно. Сначала он сохранял на компьютере файл fixed.ps1, чтобы основной код мог выполниться даже при проблемах с подключением к серверу злоумышленников. Затем сценарий добавлял в реестр Windows ключ автозапуска YandexBrowser_setup, скачивал архив rar.zip и извлекал из него PDF-документ-приманку. Документ открывался в обычной программе пользователя, чтобы создать видимость нормальной работы и выиграть время для фоновых действий.
Параллельно сценарий завершал процесс WinRAR, удалял архив, ярлык и другие следы первичного заражения, после чего запускал fixed.ps1. Такой порядок позволял сначала закрепиться в системе и отвлечь пользователя, а уже потом передать управление основному вредоносному коду.
После запуска сценарий сохранял в системе основной загрузчик, добавлял себя в автозапуск через раздел Run в реестре Windows, открывал приманку в виде PDF-документа и удалял следы первичного заражения. Такой подход помогал отвлечь пользователя и дать вредоносному коду время действовать дальше.
Основной загрузчик устанавливал несколько инструментов Cloud Atlas. Среди них были VBCloud и PowerShower. VBCloud похищал файлы, включая документы DOC, PDF и XLS, а PowerShower помогал изучать сеть жертвы, собирать сведения о процессах, администраторах и контроллерах домена, загружать дополнительные сценарии и проводить атаки на учётные записи Active Directory .
Cloud Atlas также использовала отдельный сценарий, чтобы красть учётные данные. Вредоносный код создавал теневую копию диска C, копировал системные файлы SAM и SECURITY, где хранятся хэши паролей локальных пользователей, и маскировал скопированные данные под PDF-файлы. Чтобы запуститься с повышенными правами, вредонос обходил контроль учётных записей через штатную утилиту Windows fodhelper.exe.
Во время перемещения по сети злоумышленники запускали сценарий, который изменял библиотеку termsrv.dll и позволял нескольким сеансам одновременно работать через удалённый рабочий стол. Благодаря такой доработке атакующие могли оставаться на компьютере, не отключая законного пользователя, что снижало риск быть обнаруженными.
Отдельную роль в кампании сыграли обратные туннели SSH. Заражённый компьютер сам подключался к серверу злоумышленников, что помогало обходить обычные правила межсетевого экрана. Чтобы установить такие туннели, Cloud Atlas запускала сценарии VBS через PAExec или PsExec, создавала задачи в планировщике Windows и меняла права доступа к папкам с закрытыми ключами.
Специалисты Лаборатории Касперского также нашли изменённые сборки OpenSSH. В некоторых случаях исполняемый файл вместо стандартной библиотеки libcrypto.dll загружал файл syruntime.dll, размещённый рядом с ним. Такой приём мог помогать скрывать активность от средств защиты. Кроме SSH, Cloud Atlas применяла RevSocks – инструмент, который создаёт туннели и прокси-соединения, – а также Tor. В отдельных случаях заражённая машина становилась доступна по удалённому рабочему столу через домен .onion.
Новый инструмент группировки получил название PowerCloud. Он запускался с правами администратора, собирал сведения о пользователях и администраторах на заражённом компьютере, кодировал данные в Base64 и записывал их в Google Таблицы. В большинстве случаев PowerCloud упаковывали в исполняемый файл с помощью PS2EXE, хотя встречались и варианты в виде отдельного сценария PowerShell.
Ещё один инструмент проверял, запущены ли браузеры Chrome, Edge, Firefox и другие. Такая проверка могла помогать понять, работает ли пользователь за компьютером, или выбрать удобный момент для дальнейших действий. Найденные сведения сохранялись в журнале на заражённом узле.
Авторы отчёта связывают кампанию с Cloud Atlas с высокой степенью уверенности. На атрибуцию указывают уже известные приёмы группировки, включая фишинг, вредоносные документы, Tor для перенаправления портов, а также совпадение целей и географии атак. При этом специалисты заметили пересечения с активностью Head Mare , но наборы техник по-прежнему различаются.
Cloud Atlas работает больше десяти лет и продолжает расширять арсенал. Опираясь на общедоступные утилиты вроде SSH, RevSocks и Tor, группировка делает атаки живучими, а полностью зачистить заражённые системы становится заметно сложнее: даже если основной вредоносный код удалят, у злоумышленников может остаться запасной канал доступа.