Активность Cloud Atlas во второй половине 2025 года и в начале 2026 года: новые инструменты и вредоносная нагрузка

В 2025 году мы фиксировали вредоносную активность с использованием SSH-туннелей, затрагивающую множество государственных и коммерческих организаций в России и Беларуси, и продолжаем наблюдать ее в 2026. Частично эта активность обусловлена действиями группы Cloud Atlas, известной нам с 2014 года. В ходе нашего исследования мы выявили новые инструменты, используемые этой группой, и индикаторы компрометации.

Группа вернулась к рассылке архивов с вредоносными ярлыками, запускающими PowerShell-скрипты. Злоумышленники сочетают эту технику с распространением вредоносных документов, которые, как сообщалось ранее, эксплуатируют старую уязвимость в редакторе формул Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода. Также группа пользуется сторонними общедоступными утилитами (Tor, SSH и RevSocks) для закрепления в зараженных системах и организации резервных каналов управления.

Техническая информация

Начальный вектор заражения

Для первоначальной компрометации группа Cloud Atlas продолжает использовать фишинг. В наблюдавшихся кампаниях злоумышленники распространяли по электронной почте ZIP-архивы с LNK-файлами внутри.

Схема работы вредоносного ПО

С помощью ярлыков в формате LNK злоумышленники скрытно выполняют PowerShell-скрипты, размещенные на внешних ресурсах. Командная строка ярлыка:

Пример PowerShell-скрипта, загружаемого и выполняемого ярлыком:

Пример PowerShell-скрипта, загружаемого ярлыком

Действия, выполняемые загруженным PowerShell-скриптом:

Fixed.ps1 (загрузчик)

Основное назначение скрипта Fixed.ps1 — доставка и развертывание в скомпрометированной системе вредоносного ПО последующих этапов, в частности VBCloud и PowerShower. Fixed.ps1 закрепляется в системе (добавляя себя в раздел реестра Run), отвлекает пользователя (открывая PDF-приманку) и выполняет последующие этапы атаки.

Fixed.ps1::Payload (дроппер VBCloud)

Пример модуля fixed.ps1::Payload (дроппер VBCloud)

Этот модуль выполняет роль дроппера для бэкдора VBCloud. Он сохраняет в зараженной системе два файла:

• video.vbs — загрузчик бэкдора, VBCloud::Launcher. Этот VBS-скрипт расшифровывает содержимое файла video.mds (обычно с использованием алгоритма RC4 с жестко заданным ключом) и выполняет его в памяти.
• video.mds — зашифрованное тело бэкдора, VBCloud::Backdoor. Это основной модуль, который подключается к командному серверу и получает дополнительные скрипты или выполняет встроенные команды. Этот бэкдор работает как стилер, который ищет и эксфильтрует файлы с заданными расширениями (такими как DOC, PDF и XLS).

Fixed.ps1::Payload (PowerShower)

Этот модуль устанавливает в систему второй бэкдор под названием PowerShower. У нас нет конкретного скрипта, отвечающего за процесс установки, но мы предполагаем, что он схож с fixed.ps1::Payload (дроппер VBCloud).

В отличие от VBCloud, который ориентирован на кражу файлов, PowerShower в первую очередь предназначен для сетевой разведки и дальнейшего распространения внутри инфраструктуры жертвы. PowerShower может выполнять следующие задачи:

• сбор информации о запущенных процессах, группах администраторов и контроллерах домена;
• загрузка и выполнение PowerShell-скриптов с командного сервера;
• проведение атак типа Kerberoasting (кража хэшей паролей учетных записей Active Directory).

PowerShower сохраняется в системе по пути «C:\Users\[имя_пользователя]\Pictures\googleearth.ps1».

Содержимое googleearth.ps1 (PowerShower)

PowerShower::Payload (граббер учетных данных)

PowerShower загружает дополнительный скрипт для кражи учетных данных и сохраняет его в системе. Он выполняет следующие действия:

• создает теневую копию тома C:;
• копирует системные файлы SAM (хэши паролей локальных пользователей) и SECURITY из теневой копии в папку C:\Users\Public\Documents, маскируя их под PDF-файлы.
• Скрипт выполняется в несколько этапов. Для получения повышенных привилегий скрипт использует технику обхода UAC через fodhelper.exe (встроенную утилиту Windows). Она позволяет запустить PowerShell с правами администратора без прямого запроса пользователю, который в противном случае мог бы вызвать подозрения.

Полная цепочка запуска выглядит следующим образом:

Ниже приведен скрипт в полном виде после декодирования по алгоритму Base64.

Модификация termsrv.dll для поддержки многопользовательских RDP-сеансов

При дальнейшем распространении в сети жертвы злоумышленники выполняли подозрительный PowerShell-скрипт с именем rdp_new.ps1 (MD5 1A11B26DD0261EF27A112CE8B361C247):

Скрипт изменяет файл termsrv.dll, чтобы обеспечить возможность нескольких одновременных RDP-сеансов в Windows 10. Termsrv.dll — это основная библиотека Windows, определяющая порядок работы службы удаленных рабочих столов.

По умолчанию количество одновременных RDP-сеансов в Windows ограничено. Избавившись от этого ограничения, злоумышленники могут управлять системой в фоновом режиме, не отключая легитимного пользователя, что снижает вероятность обнаружения.

Сначала скрипт добавляет разрешающее правило для службы RDP в брандмауэре и ослабляет настройки безопасности удаленного доступа.

Перед модификацией termsrv.dll скрипт назначает себя владельцем этого файла и получает полные права доступа. Затем скрипт находит последовательность байтов «39 81 3C 06 00 00 ?? ?? ?? ?? ?? ??» и заменяет ее на «B8 00 01 00 00 89 81 38 06 00 00 90». После всех этих манипуляций скрипт перезапускает службу RDP.

Пример скрипта

Модифицированная библиотека разрешает несколько одновременных входов в систему, благодаря чему злоумышленники могут сохранять доступ к системе, не прерывая работу легитимного пользователя и не вызывая подозрений.

Обратное SSH-туннелирование

Как отмечалось ранее, в ходе этой волны атак злоумышленники массово развертывали обратные SSH-туннели на ряде интересующих их хостов. Скомпрометированная машина сама инициирует SSH-соединение с сервером, контролируемым злоумышленниками. Использование исходящих соединений позволяет обойти стандартные правила брандмауэра. Таким образом, даже в случае обнаружения основного бэкдора злоумышленники могут сохранять доступ к системе через SSH-туннель.

Для развертывания обратного SSH-туннеля на хосте жертвы злоумышленники запускают VBS-скрипты через PAExec или PsExec.

Мы зафиксировали три разновидности скриптов:

• Gen.vbs (WriteToSchedulerGenerateKey.vbs) — генерирует ключ для SSH-туннеля;
• Run.vbs (WriteToSchedulerRunSSH.vbs) — запускает обратный SSH-туннель;
• Kill.vbs (WriteToSchedulerKillSSH.vbs) — останавливает обратный SSH-туннель с помощью taskkill.exe.

Для закрепления в системе злоумышленники создают новое задание в планировщике Windows:

В некоторых случаях перед установкой обратного SSH-туннеля злоумышленники изменяли права доступа к папке, содержащей закрытый ключ, чтобы легитимным пользователям и системным администраторам было сложнее добраться до него или изменить его:

Модифицированная версия OpenSSH

У некоторых исполняемых файлов OpenSSH, использовавшихся злоумышленниками, были изменены таблицы импортов. Вместо библиотеки libcrypto.dll исполняемый файл SSH импортировал syruntime.dll, размещенную в той же директории, что и сама программа. Вероятно, это было сделано с целью маскировки и обхода механизмов обнаружения.

Кроме того, мы обнаружили портативную версию OpenSSH, предположительно скомпилированную самими злоумышленниками:

 RevSocks

В дополнение к обратным SSH-туннелям злоумышленники разворачивали RevSocks, используя ту же инфраструктуру. RevSocks — утилита, написанная на языке Go, предназначенная для создания туннелей и прокси-соединений. По сути, это альтернатива SSH, позволяющая устанавливать прямые подключения к рабочим станциям в локальной сети. Также через нее атакующие могут обращаться к другим сегментам сети жертвы, используя скомпрометированную машину в качестве промежуточного узла. В некоторых случаях адреса командных серверов были встроены в исполняемый файл, в других — передавались через аргументы командной строки.

Также встречались образцы обратных SOCKS-прокси с жестко заданными адресами командных серверов:

Туннелирование через Tor

В некоторых случаях для сохранения контроля над скомпрометированным хостом использовалась сеть Tor. В системные каталоги зараженных устройств копировался минимальный набор исполняемых и конфигурационных файлов, необходимых для запуска скрытого сервиса Tor. При этом имя исполняемого файла Tor Browser было изменено. В результате зараженная машина становилась доступна по протоколу RDP через сеть Tor при обращении к сгенерированному домену .onion.

Ниже приведен пример конфигурационного файла для маршрутизации соединений из Tor на порты RDP в локальной сети, а также примеры командных строк для подключения к Tor.

Пример конфигурационного файла Tor

PowerCloud

Мы проанализировали новый инструмент Cloud Atlas — PowerCloud. Он собирает сведения о пользователях с правами администратора и записывает их в Google Таблицы в формате Base64.

Инструмент представляет собой обфусцированный PowerShell-скрипт. В большинстве случаев он упакован в исполняемый файл с помощью утилиты PS2EXE, но нам встречались и варианты в виде отдельного PowerShell-скрипта.

Для поиска администраторов на хосте жертвы инструмент выполняет следующую команду:

К этой информации добавляются имя компьютера и текущая дата. Сведения кодируются по алгоритму Base64, после чего вносятся в существующий документ Google Таблиц.

Скрипт PowerCloud

Средство проверки запущенных браузеров

Кроме того, злоумышленники использовали еще один PowerShell-скрипт (MD5: 5329F7BFF9D0D5DB28821B86C26D628F), скомпилированный в исполняемый файл с помощью PS2EXE. Этот скрипт проверяет, запущены ли процессы браузеров (Chrome, Edge, Firefox и пр.), позволяя определить, когда пользователь активно работает. Возможно, это делается в рамках сбора сведений о привычках жертвы либо для выбора оптимального времени проведения атак (например, когда пользователь отсутствует, но браузер остается запущенным).

Информация о запущенных браузерах записывается в лог-файл на локальном хосте.

Фрагмент деобфусцированного скрипта

Жертвы

По данным нашей телеметрии, в конце 2025 и начале 2026 года выявленные цели описанной вредоносной активности были сосредоточены в России и Беларуси. Среди целевых организаций преобладают государственные ведомства и дипломатические структуры.

С высокой степенью уверенности мы связываем данную активность с APT-группой Cloud Atlas. Эта группа ранее использовала аналогичные техники и инструменты, включая вектор первоначального доступа, Python-скрипты для сбора информации и приложение Tor для перенаправления портов в сеть Tor. Профиль жертв и география также соответствуют типовым целям Cloud Atlas.

Мы также заметили определенные пересечения с недавней активностью Head Mare. Бэкдор PhantomHeart, приписываемый Head Mare и используемый для создания SSH-туннелей, размещался в каталогах, активно используемых Cloud Atlas:

• C:\Windows\ime
• C:\Windows\System32\ime
• C:\Windows\pla
• C:\Windows\inf
• C:\Windows\migration
• C:\Windows\System32\timecontrolsvc
• C:\Windows\SKB

Тем не менее тактики, техники и процедуры групп по-прежнему различаются.

Заключение

Уже более десяти лет группа Cloud Atlas сохраняет активность и продолжает расширять свой инструментарий. В прошлом году ReverseSocks, SSH и Tor активно использовались разными злоумышленниками во многих целевых кампаниях, и операции группы Cloud Atlas не стали исключением. Резервные каналы управления на основе этих общедоступных утилит существенно усложняют задачу полной нейтрализации активности этих злоумышленников в скомпрометированных системах. Мы продолжим отслеживать активность этой группы и анализировать ее новые инструменты и техники.

Индикаторы компрометации

PowerCloud

7A95360B7E0EB5B107A3D231ABBC541A   C:\Windows\wininet.exe
C0D1EAA15A2CEFBAB9735787575C8D8E   C:\Windows\LiveKernelReports\update.exe
D5B38B252CF212A4A32763DE36732D40   C:\Windows\ime\imejp\dicts\i39884.exe
3C75CEDB1196DF5EAB91F31411ED4B33   C:\pla\reports.exe
42AC350BFBC5B4EB0FEDBA16C81919C7   C:\ProgramData\update_[убрано].exe
493B901D1B33EB577DB64AADD948F9CE   C:\Windows\migration\wtr\MicrosoftBrowser.exe
2CABB721681455DAE1B6A26709DEF453  C:\Windows\pla\reports\winlog.exe
1B39E86EB772A0E40060B672B7F574F1  C:\Windows\System32\timecontrolsvc\vmnetdrv64.exe
1D401D6E6FC0B00AAA2C65A0AC0CFD6B C:\Windows\setup\scripts\install\software\activation\aact\dfsvc.exe
40A562B8600F843B717BC5951B2E3C29  C:\Windows\branding\scat.exe
F721A76DEB28FD0B80D27FCE6B8F5016  C:\Windows\ime\imekr\dicts\dfsvc.exe
D3C8AFD22BAA306FF659DB1FAC28574A  C:\ProgramData\update_[убрано].exe
6D7B2D1172BBDB7340972D844F6F0717
C:\Users\[убрано]\AppData\Local\1c\1cv8\1cv8ud.exe
C:\Users\[убрано]\AppData\Local\1c\1cv8\svc.exe
9769F43B9DE8D19E803263267FA6D62E C:\Users\[убрано]\AppData\Local\1c\1cv8\1cv8ud.exe
63B6BE9AE8D8024A40B200CCCB438F1D  C:\Windows\notepad.exe
6AA586BCC45CA2E92A4F0EF47E086FA1  C:\Windows\splwow32.exe
EBA3BCDB19A7E256BF8E2CC5B9C1CCA9  C:\Users\[убрано]\Desktop\soc\stant.exe
B4E183627B7399006C1BC47B3711E419  C:\WINDOWS\ime\service.exe
F56B31A4B47AD3365B18A7E922FBA1A8  dfsvc.exe
F6F62456FB0FCC396FB654CBED339BC3  —
25C8ED0511375DCA57EF136AC3FA0CCA  C:\branding\dwmw.exe

Средство проверки запущенных браузеров
5329F7BFF9D0D5DB28821B86C26D628F  C:\ProgramData\checker_[убрано].exe

ReverseSocks

2B4BA4FACF8C299749771A3A4369782E  C:\Windows\PLA\System\bounce.exe
C:\Windows\pla\print_status.exe
BA9CE06641067742F2AFC9691FAFF1DC   C:\ProgramData\hp\client.exe
FB0F8027ACF1B1E47E07A63D8812ED50   C:\Windows\System32\timecontrolsvc\vmnetdrv64.exe
BBF1FA694122E07635DEEAC11AD712F8   C:\Windows\System32\HostManagement.exe
F301AA3D62B5095EEC4D8E34201A4769   C:\Windows\ime\imejp\msfu.exe
F9C3BBE108566D1A6B070F9C5FB03160   C:\Windows\ime\imetc\help\IMTCEN14.exe

Вредоносные документы Microsoft Office

369B75BDCDED16469EDE7AB8BEDCFAE1    информационное письмо о форуме.doc
9EAAE9491F6A50D6DF0BE393734A44CB    мтлф_программа.doc
3E6E9DF00A764B348EC611EE8504ACA0    уведомление о прибытии груза.doc
9BD788F285E32A05E6591D1EB36EBFFC    договор перевозки груза.doc
F42085522EC2EBB16EDCF814E7C330AD    обзор.doc
2042EB5D52F0B535A1CE6B6F954C8C2B    о_конкурсе_человек_дела_–_2026.doc
2AA1E9765EF6B00B94A9B6BE0041436A    письмо 19-12-2240.doc
36120F5E9411BCBAC7104EF3FA964ED2    письмо исх. № 03-2510 от 25.02.2026.doc
5000A353399500BC78381DC95B6ED2DC    исх. № 25167.doc
579A9952D31CAD801A3988DBE7914CE7    приложение _информация о конференции.doc
867B634588C0FD6B26684D502C15AB03   приложение к письму № 61347-06.doc
38FA4306FA4406BA31CF171AF4D36E34    приложение.doc
83EDDE9F7EEEFAC0363413972F35572B    приглашениe.doc
CC751619BFEC0DC4607C17112B9E3B2C    справочник_российское_судостроение_2026.doc
A632858F14B36F03D0F213F5F5D6BFF2    приглашение к сотрудничеству от ао вомз.doc
097CA205AD9E3B72018750280904718C    goodwan_основные изделия.doc
69121C36EB8BF77962DCA825FCFFD873    по вопросам личной безопасности.doc
C5702EB250F855C8C872FFFB9BB656ED    предложение_вектор.doc
ED34F5A136FBA4FDEA976570FAA33ED7    ликвидация чрезвычайной ситуации, связанной с регистрацией инфекционного заболевания в районе.doc
0577DB70844E88B32B954906E2F20798    королёвский трубный завод.doc
28ECF8FB6719E14231B94B4D37629B0E    ивановская область.doc
0857C84B62289A1A9F29E19244E9A499    рег. № 168 от 10.02.2026.doc
0C514E137860F489E3801213460EF938    заявка.doc
50568B1F9335A7E3BA4E5DF035A8FB86    заявка красный уровень резиденты.doc
7F776AD200287D6DE14A29158C457179    заявка на бронирование номера.doc
51F7F794ED43FB90D0F8EBBB5EFFE628    ком_предложение_novasync capital.doc
B8C753DD254509FBA5077FFD5067EAB0    динамика ввп.doc
BC3739DEC8CD8F54F3F60A85F3ED600E    будущее ирана.doc
EC076CD21C483A40156F4E40D08DADED    обеспечение информационными перечнями 2 полугодие.doc
216CB7F31D383C0DD892B284DF05A495    абр новая_ 2026.02.doc
116F59E70A9DF97F4ADAEA71EECB1E9A    протокол согласования разногласий д 2026.doc
7242AC065B50BCDE9308756B49DBADCB    по вопросам личной безопасности.doc
8158552950D2E13B075001CE0C52AA97    фб1009_программа.doc
A75DBED984963B9AB21309C5B2F8FD9B    бланк-заказ 2026.doc
0320DD389FDBAB25D46792BD2817675E    04856 завка.doc
5339D1A666F3E40FE756505CF1D87D4B    о запросе стоимости перевозки_19-22-1.doc
67D7E3AEEB673BF60C59361C12A4ED81    запрос_март 2026.doc
89572F0ED20791A5AC9FC4267D67CCB0    положение vi международного конкурса stringpremium — 2026.doc
B6AAE073E7BFEBF4D643C2BBEB5C02E1    бизнес-миссия в ра.doc
344CA9EA07CD4AC90EF27F8890D4EC05    информация_о_сроках_и_способах_отгрузки.doc

Домены и IP-адреса

Домены, используемые для обратных SSH-туннелей или SOCKS-прокси

tenkoff[.]org
cloudguide[.]in
goverru[.]com
kufar[.]org
ultimatecore[.]net
spbnews[.]net
onedrivesupport[.]net

Вредоносные и скомпрометированные домены, используемые в документах Microsoft Office

amerikastaj[.]com
bigbang[.]me
paleturquoise-dragonfly-364512.hostingersite[.]com
wizzifi[.]com
totallegacy[.]org
mamurjor[.]com
landscapeuganda[.]com
lafortunaitalian.co[.]uk
kommando[.]live
internationalcommoditiesllc[.]com
humanitas[.]si
fishingflytackle[.]com
firsai.tipshub[.]net
alnakhlah.com[.]sa
allgoodsdirect.com[.]au
agenciakharis.com[.]br

Домены, используемые для хранения полезной нагрузки PowerShell

istochnik[.]org
znews[.]neti
investika-club[.]com
194.102.104[.]207
46.17.45[.]56
46.17.45[.]49
46.17.44[.]125
46.17.44[.]212
185.22.154[.]73
194.87.196[.]163
195.58.49[.]9
93.125.114[.]193
93.125.114[.]57
45.87.219[.]116
37.228.129[.]224
185.53.179[.]136
185.126.239[.]77
5.181.21[.]75
146.70.53[.]171
45.15.65[.]134
185.250.181[.]207
81.30.105[.]71

Пути к файлам

VBS-скрипты

WriteToSchedulerKillSSH.vbs
Create_task_day.vbs
WriteToSchedulerGenerateKey.vbs
C:\Windows\INF\Run.vbs
c:\Windows\INF\install.vbs
Update.vbs
c:\Windows\PLA\System\Gen.vbs
C:\Windows\INF\GenK.vbs
c:\Windows\PLA\System\Kill.vbs
c:\Windows\PLA\System\Run.vbs

ssh.exe

c:\Windows\ime\imejp\Asset.exe
c:\Windows\PLA\System\conhosts.exe
c:\Windows\INF\BITS\esentprf.exe
c:\Windows\INF\MSDTC\RuntimeBrokers.exe
c:\Windows\inf\diagnostic.exe

ReverseSocks

C:\Windows\PLA\System\bounce.exe
C:\ProgramData\hp\client.exe
C:\Windows\System32\timecontrolsvc\vmnetdrv64.exe

Клиент Tor

C:\Windows\Resources\Update\Intel.exe
C:\Windows\INF\package.exe