mail-nation

Управляем почтой: от домена до конверсий

Новость

Атаки CloudAtlas через легитимные ресурсы: защита почты

CloudAtlas снова использует почту как входную точку. По данным материала на Хабре со ссылкой на Threat Intelligence департамент экспертного центра безопасности Positive Technologies, в мае 2026 года…

Атаки CloudAtlas через легитимные ресурсы: защита почты

CloudAtlas снова использует почту как входную точку. По данным материала на Хабре со ссылкой на Threat Intelligence департамент экспертного центра безопасности Positive Technologies, в мае 2026 года обнаружена кампания против объектов в России и пользователей из Ирака: документы Microsoft Office тянут вредоносные шаблоны через цепочки легитимных веб-ресурсов. Для почтовой инфраструктуры здесь важен не сам бренд APT, а способ доставки: письмо может выглядеть штатно, домены в сетевых событиях — неочевидно вредоносными, а первичный артефакт — обычным Office-файлом.

Почтовый периметр: Office-документ остается первым звеном

Начальная стадия описанной кампании — рассылка по электронной почте документов Microsoft Office. При открытии такой документ загружает вредоносный шаблон со скомпрометированных легитимных веб-ресурсов.

Это стандартная проблема для шлюзов: сам вложенный файл может не содержать финальную полезную нагрузку. Он выполняет роль загрузчика. Если антиспам, sandbox или DLP проверяют только статический документ без контролируемого открытия и сетевой трассировки, атака проходит глубже.

Проверьте политики для входящей почты:

  • блокируйте или изолируйте Office-файлы с внешними шаблонами;
  • отправляйте такие вложения в sandbox с эмуляцией открытия;
  • фиксируйте сетевые обращения процесса Office после открытия документа;
  • не считайте «легитимный» домен достаточным основанием для пропуска;
  • отдельно контролируйте вложения, пришедшие на адреса сотрудников критичных подразделений.

В описании кампании фигурируют российские объекты энергетической, оборонно-промышленной и транспортной инфраструктуры, с акцентом на предприятия на территории Крымского полуострова. Также указано, что часть документов по внешним признакам была рассчитана на пользователей из Ирака. Для MTA и SOC это означает одно: география цели не должна быть единственным фильтром риска.

Транспорт через oEmbed и WordPress ломает простую репутацию URL

Ключевая деталь новой волны — не прямой HTTP-запрос к скомпрометированному ресурсу, а использование oEmbed-запросов через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами. В материале приведен формат вида /?wp-json/oembed/1.0/embed/url=..., где один легитимный ресурс используется как промежуточный слой для доставки.

Для классического URL-фильтра это плохой сценарий. В журнале может быть виден допустимый WordPress-сайт, а не фактический источник полезной нагрузки. Сигнатура по домену назначения теряет точность. Атрибуция канала доставки усложняется.

На почтовом шлюзе и прокси проверьте не только домен, но и параметры запроса. Ищите обращения к wp-json/oembed с URL во входных параметрах, особенно если инициатор — Office, HTA, WScript или дочерний процесс, появившийся после открытия вложения. Разрешенный домен не отменяет анализа цепочки.

Отдельно пересмотрите правила для HTA и VBS. В описанной кампании полезная нагрузка при открытии документа — обфусцированный HTA-дроппер. Он извлекает дополнительные компоненты, среди них названы VBS- и JFM-файлы, и закрепляется через ветку автозапуска текущего пользователя в Windows. Запуск выполняется через wscript из каталога в профиле пользователя.

Минимальная инженерная реакция: запретите запуск HTA из пользовательских каталогов, ограничьте WScript там, где он не нужен бизнес-процессам, контролируйте создание автозапуска в HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

LotL-контекст: легитимные инструменты уже не исключение

Отдельный сигнал пришел от Techora.ru со ссылкой на «Кросстех»: в первом полугодии 2026 года до 80% атак на банки включали элементы Living off the Land. Указано, что злоумышленники используют штатные инструменты Windows, административные службы, скрипты, RDP, облачные и сторонние CLI. Для APT-атак, по данным источника, доля LotL превышает 90%.

Это хорошо стыкуется с техникой CloudAtlas: цепочка доставки опирается на легитимные веб-ресурсы, WordPress API, Office, HTA, VBS и штатный запуск через Windows Script Host. Детектировать такое только по «вредоносному файлу» недостаточно.

Что отслеживать в почтовой и endpoint-телеметрии:

  • Office запускает HTA, VBS, WScript или сетевые обращения к неизвестным внешним ресурсам;
  • после открытия вложения создаются файлы в пользовательском профиле;
  • появляется автозапуск VBS в ветке HKCU;
  • прокси видит oEmbed-запросы с вложенным URL;
  • письмо проходит SPF/DKIM/DMARC, но содержит документ с внешним шаблоном.

SPF, DKIM и DMARC здесь не закрывают риск. Они подтверждают доменную аутентичность отправителя, но не безопасность вложения. Для этой кампании критичны sandbox, анализ поведения Office, корреляция MTA-прокси-EDR и запрет сценариев, которые не нужны пользователю для работы.