C
月内に
APTグループ「Cloud Atlas」が、2025年後半から2026年初頭にかけてロシアやベラルーシの政府機関および企業を標的に活動を再開しています
📌 一言でいうと
APTグループ「Cloud Atlas」が、2025年後半から2026年初頭にかけてロシアやベラルーシの政府機関および企業を標的に活動を再開しています。攻撃者は悪意のあるショートカットを含むアーカイブや、CVE-2018-0802を悪用した文書を用いてPowerShellスクリプトを実行させます。また、SSHトンネリングやTorなどのサードパーティ製ツールを悪用して持続的なアクセスを確保し、認証情報の窃取やRDPの不正利用を行うことが確認されています。
🔍該当判定
- ロシアまたはベラルーシの政府機関・企業と取引がある、または拠点がある
- 社内でMicrosoft Officeの古いバージョン(CVE-2018-0802未対策)を利用している
- 外部から社内PCへ接続するために、OpenSSHやTorなどのトンネリングツールを導入している
- 不審なアーカイブファイル(ZIP等)に含まれるショートカットファイルを実行した形跡がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Microsoft Officeの最新アップデートを適用し、CVE-2018-0802等の既知の脆弱性を排除すること。2. 不審なアーカイブファイルやショートカットファイルを実行しないようユーザー教育を徹底すること。3. SSHやRDPなどのリモートアクセスログを監視し、不審なトンネリングツールの使用を検知すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイルおよびショートカットの実行禁止について
お疲れさまです。情報システム担当です。
最近、悪意のあるファイル(ショートカットや文書ファイル)を送りつけ、コンピュータを不正に操作しようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にzipなどの圧縮ファイル)を開かないでください。
2. 添付ファイルの中に含まれる「.lnk」などのショートカットファイルを絶対に実行しないでください。
3. 不審な挙動に気づいた場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
最近、悪意のあるファイル(ショートカットや文書ファイル)を送りつけ、コンピュータを不正に操作しようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にzipなどの圧縮ファイル)を開かないでください。
2. 添付ファイルの中に含まれる「.lnk」などのショートカットファイルを絶対に実行しないでください。
3. 不審な挙動に気づいた場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日中
Subject: [Security Alert] Do Not Open Suspicious Email Attachments or Shortcuts
Dear employees,
We have observed an increase in attacks where malicious files (such as shortcuts or documents) are sent via email to gain unauthorized access to systems.
Please follow these guidelines:
1. Do not open attachments (especially compressed files like .zip) from unknown or untrusted senders.
2. Never execute shortcut files (.lnk) found within email attachments.
3. If you notice any suspicious activity on your computer, please report it to the IT department immediately.
Deadline: Immediate
Dear employees,
We have observed an increase in attacks where malicious files (such as shortcuts or documents) are sent via email to gain unauthorized access to systems.
Please follow these guidelines:
1. Do not open attachments (especially compressed files like .zip) from unknown or untrusted senders.
2. Never execute shortcut files (.lnk) found within email attachments.
3. If you notice any suspicious activity on your computer, please report it to the IT department immediately.
Deadline: Immediate
件名: 【共有】APTグループ Cloud Atlas による攻撃活動について
お疲れさまです。Cloud Atlasによる最新の攻撃キャンペーンに関する情報共有です。
■ 概要
ロシア・ベラルーシの組織を標的とした活動が確認されており、PowerShellベースのローダー(Fixed.ps1)や認証情報窃取ツール、SSH/Torトンネリングを用いた持続性の確保が行われています。また、古い脆弱性であるCVE-2018-0802を悪用した初期侵入も継続して行われています。
■ 影響範囲
- Microsoft Office (CVE-2018-0802 未適用環境)
- Windows OS (PowerShell実行環境)
■ 対応手順
1. Office製品のパッチ適用状況を確認し、最新の状態に更新すること。
2. ネットワーク境界において、不審なSSHトンネリングやTor通信の有無を監視すること。
3. termsrv.dll の改ざんや、不審なRDP接続のログを確認すること。
■ 参考情報
- Kaspersky Securelist Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Cloud Atlasによる最新の攻撃キャンペーンに関する情報共有です。
■ 概要
ロシア・ベラルーシの組織を標的とした活動が確認されており、PowerShellベースのローダー(Fixed.ps1)や認証情報窃取ツール、SSH/Torトンネリングを用いた持続性の確保が行われています。また、古い脆弱性であるCVE-2018-0802を悪用した初期侵入も継続して行われています。
■ 影響範囲
- Microsoft Office (CVE-2018-0802 未適用環境)
- Windows OS (PowerShell実行環境)
■ 対応手順
1. Office製品のパッチ適用状況を確認し、最新の状態に更新すること。
2. ネットワーク境界において、不審なSSHトンネリングやTor通信の有無を監視すること。
3. termsrv.dll の改ざんや、不審なRDP接続のログを確認すること。
■ 参考情報
- Kaspersky Securelist Report
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Cloud Atlas APT Activity Update
Dear Security Team,
This is a technical update regarding the recent activity of the APT group Cloud Atlas.
■ Overview
Cloud Atlas is targeting government and commercial entities in Russia and Belarus. The attack chain involves malicious shortcuts or documents exploiting CVE-2018-0802 to deploy PowerShell loaders (Fixed.ps1). The group utilizes third-party tools like RevSocks, Tor, and patched OpenSSH for tunneling and persistence, and patches termsrv.dll to enable multi-user RDP.
■ Scope
- Microsoft Office (environments vulnerable to CVE-2018-0802)
- Windows environments allowing PowerShell execution
■ Mitigation Steps
1. Ensure all Microsoft Office installations are fully patched against CVE-2018-0802.
2. Monitor network traffic for unauthorized SSH/Tor tunneling activity.
3. Audit termsrv.dll integrity and monitor for anomalous RDP sessions.
■ Reference
- Kaspersky Securelist
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical update regarding the recent activity of the APT group Cloud Atlas.
■ Overview
Cloud Atlas is targeting government and commercial entities in Russia and Belarus. The attack chain involves malicious shortcuts or documents exploiting CVE-2018-0802 to deploy PowerShell loaders (Fixed.ps1). The group utilizes third-party tools like RevSocks, Tor, and patched OpenSSH for tunneling and persistence, and patches termsrv.dll to enable multi-user RDP.
■ Scope
- Microsoft Office (environments vulnerable to CVE-2018-0802)
- Windows environments allowing PowerShell execution
■ Mitigation Steps
1. Ensure all Microsoft Office installations are fully patched against CVE-2018-0802.
2. Monitor network traffic for unauthorized SSH/Tor tunneling activity.
3. Audit termsrv.dll integrity and monitor for anomalous RDP sessions.
■ Reference
- Kaspersky Securelist
Priority: High
Deadline: Immediate