Cloud Atlas атакует SSH-туннелями госорганизации России и Беларуси

Cloud Atlas APT group во второй половине 2025 года и в начале 2026 года провела масштабную кампанию, нацеленную на государственные организации и коммерческие структуры в России и Беларуси. Расследование выявило не только новый набор инструментов, но и заметную эволюцию тактик группировки, которая, по данным отчета, активна с 2014 года.

Фишинг, ZIP-архивы и переход к LNK

Первоначальный вектор заражения оставался классическим для Cloud Atlas: злоумышленники использовали phishing и рассылали ZIP-файлы, внутри которых находились вредоносные LNK-файлы. При запуске они инициировали выполнение сценариев PowerShell из внешних источников.

Это стало отходом от прежнего подхода группы, которая раньше сильнее зависела от вредоносных документов, эксплуатирующих уязвимость Microsoft Office (CVE-2018-0802).

Как работала цепочка заражения

Сценарии PowerShell выполняли несколько задач одновременно:

• настраивали механизмы закрепления в системе;
• запускали документы-приманки для отвлечения пользователей;
• загружали полезную нагрузку с удаленных серверов.

Основной сценарий, получивший название Fixed.ps1, обеспечивал установку двух ключевых компонентов вредоносного ПО: бэкдора VBCloud и бэкдора PowerShower.

VBCloud и PowerShower: разделение задач

VBCloud выполнял роль дроппера и доставлял основной модуль бэкдора. Его функциональность была ориентирована на кражу различных типов файлов, включая документы и электронные таблицы.

PowerShower, в свою очередь, был сфокусирован на внутренней разведке в сети жертвы. Среди его возможностей:

• сбор информации о запущенных процессах;
• выполнение атак Kerberoasting для получения хэшей паролей из учетных записей Active Directory.

Перемещение внутри сети и SSH-туннели

Для горизонтального перемещения внутри инфраструктуры Cloud Atlas использовала скрипты, позволявшие включать несколько RDP-сессий путем патчинга файла termsrv.dll.

Кроме того, группировка активно создавала обратные SSH-туннели с помощью различных инструментов, включая кастомные версии OpenSSH и инструмент на базе Golang под названием RevSocks. Это усиливало их способность удерживать контроль над скомпрометированными сетями, устанавливать дополнительные инструменты и получать доступ к конечным точкам с минимальным риском обнаружения.

Новые инструменты: PowerCloud

Помимо традиционных функций бэкдора, злоумышленники внедрили новый инструмент PowerCloud. Он собирает пользовательские данные с повышенными привилегиями и передает их в Google Sheets в закодированном формате.

Также был замечен скрипт проверки браузеров, который оценивает, запущены ли распространенные браузеры. По оценке авторов отчета, это позволяет злоумышленникам выбирать оптимальное время для вредоносных действий, ориентируясь на паттерны активности пользователей.

Кому угрожала кампания

Данные телеметрии указывают на то, что кампания в первую очередь была направлена на секторы в России и Беларуси, прежде всего на государственные и дипломатические организации. Такой выбор целей соответствует историческому фокусу Cloud Atlas.

Эволюционирующие тактики группы, включая сложное использование обратного SSH, Tor-туннелирования и новых инструментов, подчеркивают сохраняющуюся угрозу для ландшафта киберугроз.

Вывод

Отчет показывает, что Cloud Atlas продолжает адаптировать свой инструментарий и операционные методы. Переход от вредоносных документов к LNK-файлам, использование обратных SSH-туннелей, RevSocks и новых компонентов вроде PowerCloud свидетельствуют о высокой гибкости группы.

Мониторинг ее активности остается критически важным: возможности Cloud Atlas указывают на постоянную и адаптивную угрозу, способную долго сохраняться в инфраструктуре жертв и развивать кампании с учетом текущей защиты.