Зайти пять раз в одну и ту же дверь. Как Cloud Atlas взламывали одну систему снова и снова

Cloud Atlas известна как минимум с 2014 года и связывается со шпионскими операциями против госструктур и организаций в разных странах. По данным исследователей, заметная часть наблюдаемых атак группы приходится на российские государственные и частные организации, а ключевой ставкой в ее тактике остается фишинг: письма с документами Microsoft Word, которые пользователь открывает как «обычную» переписку по работе.

В изученном кейсе заражение начиналось с вредоносного Word-документа. Дальше на машине запускался скриптовый интерпретатор Windows, а сама вредоносная логика пряталась не в отдельном исполняемом файле, а внутри файловой системы с помощью альтернативных потоков данных NTFS. Это прием, который позволяет хранить код и результаты работы так, что при обычном просмотре файла в проводнике ничего подозрительного не видно. Именно такая «маскировка» и повторяемость сценария стали главными маркерами почерка Cloud Atlas в этом расследовании.

Часть исходных вложений в системе не сохранилась, но следы их загрузки и обращений к управляющим доменам исследователи увидели в артефактах Windows и Microsoft Office. В отчете упоминаются несколько C2-адресов, фигурировавших в разных эпизодах, а также тот факт, что последняя попытка развить атаку дальше была сорвана на раннем этапе: антивирус вовремя обнаружил один из скриптов, который должен был запустить следующую нагрузку.

Вывод у исследователей довольно прямой: в 2025 году цепочка Cloud Atlas практически не менялась, и фишинг по-прежнему остается главным входом, а ADS - одним из способов спрятать активность на диске. Поэтому защита здесь упирается не в «магическую» сигнатуру, а в дисциплину: обучение сотрудников распознаванию фишинга, ограничение запуска скриптов, EDR на рабочих станциях и мониторинг событий, которые помогают заметить повторяющиеся признаки компрометации до того, как атака закрепится.