Специалисты F6, занимающиеся созданием решений против киберпреступности, обнаружили новую волну активности хакерской группировки Cloud Atlas, нацеленную на организации в России и Беларуси. Зловредное сообщение было отправлено сельскохозяйственной компании под видом программы предстоящего отраслевого события. Кроме того, по данным экспертов F6, в октябре атаки Cloud Atlas затронули компании оборонной промышленности, в том числе с использованием фиктивных запросов демографической информации.
Cloud Atlas — это поддерживаемая государством APT-группировка, действующая с 2014 года и сосредоточенная на кибершпионаже и хищении секретных сведений. Она применяет сложные многоступенчатые операции, используя собственные загрузчики и зашифрованные каналы для незаметного сбора информации.
На протяжении 2025 года аналитики F6 отмечают рост активности Cloud Atlas в отношении российских и белорусских организаций. Группа активно расширяет свою сетевую инфраструктуру, развертывая новые командные серверы. Исследователи подчеркивают, что злоумышленники сохраняют базовый сценарий заражения, но варьируют доменные зоны и вредоносные вложения в фишинговых рассылках.
В середине октября платформа F6 Managed XDR для защиты от сложных и неизвестных кибератак предотвратила атаку Cloud Atlas на российский агропромышленный холдинг. С адреса публичного российского почтового сервиса было отправлено письмо с опасным документом .doc, замаскированным под приглашение на регистрацию в форуме по растениеводству. Это не первая атака группировки на агропромышленный сектор осенью 2025 года: в сентябре была зафиксирована рассылка от Cloud Atlas с вредоносным вложением, имитирующим коммерческое предложение.
Анализ названий и содержимого выявленных в ходе исследования файлов указывает на то, что под удар попали не только агропромышленные, но и оборонные предприятия России.
