F6: Активность Cloud Atlas угрожает бизнесу в РФ

Специалисты компании F6, ведущего разработчика технологий для борьбы с киберпреступностью, зафиксировали новую волну атак группировки Cloud Atlas на российские и белорусские компании. В преддверии отраслевого форума «Зерно и масличные 2025», запланированного на 30 октября в Москве, злоумышленники отправили агропромышленному предприятию фишинговое письмо с вредоносным вложением, замаскированное под программу мероприятия. Об этом IT Speaker рассказали в пресс-службе F6.

Также эксперты установили, что в октябре атаки были нацелены на организации оборонно-промышленного комплекса, например, под видом официального запроса демографических данных.

На протяжении всего 2025 года эксперты F6 наблюдают значительный рост активности группировки в отношении компаний в России и Белоруссии. Злоумышленники постоянно наращивают свою сетевую инфраструктуру, развертывая новые командные центры. Исследователи отмечают, что хотя базовая схема заражения остается неизменной, группа активно экспериментирует с доменными зонами и типами вредоносного ПО, которое распространяется через вложения в фишинговых письмах.

В середине октября система F6 Managed XDR успешно перехватила целенаправленную атаку на российское агропредприятие. Письмо с вредоносным документом .doc было отправлено с адреса публичного российского почтового сервиса и маскировалось под приглашение на регистрацию в форуме по растениеводству. Это уже не первая подобная атака на агропромышленный комплекс осенью 2025 года – в сентябре группа рассылала фишинг под видом коммерческого предложения.

Анализ названий и содержимого вредоносных файлов, обнаруженных в ходе расследования, позволяет сделать вывод, что группировка целенаправленно атакует не только агропромышленные, но и оборонные предприятия России.

Cloud Atlas – это прогосударственная APT-группа, известная с 2014 года и специализирующаяся на кибершпионаже и хищении конфиденциальной информации. Для скрытного сбора данных она использует сложные многоэтапные атаки, применяя собственные загрузчики и шифрованные каналы связи.

Ранее специалисты департамента киберразведки компании F6 обнаружили значительные изменения в инструментарии киберпреступной группировки Unicorn, которая с сентября 2024 года целенаправленно атакует российские компании из различных отраслей. Несмотря на стандартную схему атак с использованием еженедельных рассылок и минимально изменяемого самописного стилера, злоумышленники продолжают развивать свой вредоносный инструментарий.