Атаки CloudAtlas через легитимные ресурсы: защита почты
CloudAtlas снова использует почту как входную точку. По данным материала на Хабре со ссылкой на Threat Intelligence департамент экспертного центра безопасности Positive Technologies, в мае 2026 года…

CloudAtlas снова использует почту как входную точку. По данным материала на Хабре со ссылкой на Threat Intelligence департамент экспертного центра безопасности Positive Technologies, в мае 2026 года обнаружена кампания против объектов в России и пользователей из Ирака: документы Microsoft Office тянут вредоносные шаблоны через цепочки легитимных веб-ресурсов. Для почтовой инфраструктуры здесь важен не сам бренд APT, а способ доставки: письмо может выглядеть штатно, домены в сетевых событиях — неочевидно вредоносными, а первичный артефакт — обычным Office-файлом.
Почтовый периметр: Office-документ остается первым звеном
Начальная стадия описанной кампании — рассылка по электронной почте документов Microsoft Office. При открытии такой документ загружает вредоносный шаблон со скомпрометированных легитимных веб-ресурсов.
Это стандартная проблема для шлюзов: сам вложенный файл может не содержать финальную полезную нагрузку. Он выполняет роль загрузчика. Если антиспам, sandbox или DLP проверяют только статический документ без контролируемого открытия и сетевой трассировки, атака проходит глубже.
Проверьте политики для входящей почты:
- блокируйте или изолируйте Office-файлы с внешними шаблонами;
- отправляйте такие вложения в sandbox с эмуляцией открытия;
- фиксируйте сетевые обращения процесса Office после открытия документа;
- не считайте «легитимный» домен достаточным основанием для пропуска;
- отдельно контролируйте вложения, пришедшие на адреса сотрудников критичных подразделений.
В описании кампании фигурируют российские объекты энергетической, оборонно-промышленной и транспортной инфраструктуры, с акцентом на предприятия на территории Крымского полуострова. Также указано, что часть документов по внешним признакам была рассчитана на пользователей из Ирака. Для MTA и SOC это означает одно: география цели не должна быть единственным фильтром риска.
Транспорт через oEmbed и WordPress ломает простую репутацию URL
Ключевая деталь новой волны — не прямой HTTP-запрос к скомпрометированному ресурсу, а использование oEmbed-запросов через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами. В материале приведен формат вида /?wp-json/oembed/1.0/embed/url=..., где один легитимный ресурс используется как промежуточный слой для доставки.
Для классического URL-фильтра это плохой сценарий. В журнале может быть виден допустимый WordPress-сайт, а не фактический источник полезной нагрузки. Сигнатура по домену назначения теряет точность. Атрибуция канала доставки усложняется.
На почтовом шлюзе и прокси проверьте не только домен, но и параметры запроса. Ищите обращения к wp-json/oembed с URL во входных параметрах, особенно если инициатор — Office, HTA, WScript или дочерний процесс, появившийся после открытия вложения. Разрешенный домен не отменяет анализа цепочки.
Отдельно пересмотрите правила для HTA и VBS. В описанной кампании полезная нагрузка при открытии документа — обфусцированный HTA-дроппер. Он извлекает дополнительные компоненты, среди них названы VBS- и JFM-файлы, и закрепляется через ветку автозапуска текущего пользователя в Windows. Запуск выполняется через wscript из каталога в профиле пользователя.
Минимальная инженерная реакция: запретите запуск HTA из пользовательских каталогов, ограничьте WScript там, где он не нужен бизнес-процессам, контролируйте создание автозапуска в HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
LotL-контекст: легитимные инструменты уже не исключение
Отдельный сигнал пришел от Techora.ru со ссылкой на «Кросстех»: в первом полугодии 2026 года до 80% атак на банки включали элементы Living off the Land. Указано, что злоумышленники используют штатные инструменты Windows, административные службы, скрипты, RDP, облачные и сторонние CLI. Для APT-атак, по данным источника, доля LotL превышает 90%.
Это хорошо стыкуется с техникой CloudAtlas: цепочка доставки опирается на легитимные веб-ресурсы, WordPress API, Office, HTA, VBS и штатный запуск через Windows Script Host. Детектировать такое только по «вредоносному файлу» недостаточно.
Что отслеживать в почтовой и endpoint-телеметрии:
- Office запускает HTA, VBS, WScript или сетевые обращения к неизвестным внешним ресурсам;
- после открытия вложения создаются файлы в пользовательском профиле;
- появляется автозапуск VBS в ветке HKCU;
- прокси видит oEmbed-запросы с вложенным URL;
- письмо проходит SPF/DKIM/DMARC, но содержит документ с внешним шаблоном.
SPF, DKIM и DMARC здесь не закрывают риск. Они подтверждают доменную аутентичность отправителя, но не безопасность вложения. Для этой кампании критичны sandbox, анализ поведения Office, корреляция MTA-прокси-EDR и запрет сценариев, которые не нужны пользователю для работы.