Анализ фишинговой рассылки под видом форума GIS DAYS 2026
В начале июля GSOC обнаружила фишинговую рассылку под брендом GIS DAYS 2026. Письма приходили с внешнего адреса annaborisova.official@mail[.]ru с темой «Генеральному директору. Приглашение на GIS DAYS 2026 – форум по информационной безопасности».

Механика
PDF-приманка мимикрирует под легитимное приглашение: актуальный логотип мероприятия, поддельный сертификат ЭП, публичные данные о программе, подпись генерального директора. В конце PDF — пароль от архива (GISDAYS2026!Guest). Внутри архива два исполняемых файла с расширением.exe; сигнатура ВПО — crime_win_ZZ_OffTask__Trojan.
Закрепление через четыре запланированные задачи Windows. Имена мимикрируют под легитимные процессы Microsoft:
1. MicrosoftEdgeUpdateTaskUser — загрузка архива OpenSSH с C2 170.168.1[.]66 через scp.
2. MicrosoftEdgeUpdateTaskUserDev — распаковка через Expand-Archive.
3. UpdateBUS — SSH-соединение с C2 89.23.116[.]183.
4. MicrosoftEdgeUpdateTaskKernel — запуск OpenSSH-сервера.
На финальном этапе ВПО запускает explorer с обращением к внешнему узлу kazansky.camdvr[.]org — отвлечение оператора шумом легитимных документов.
Индикаторы компрометации
Заблокируйте на периметре почтового шлюза и прокси:
- 170.168.1[.]66
- 89.23.116[.]183
- kazansky.camdvr[.]org
- annaborisova.official@mail[.]ru
SHA-256 исполняемых файлов:
0b41b33186a9bd84b591666c7a51ca290a5ee931460f3bb8627e98086bc94462
95247787e01accedc63e6d90e883c3b6b0c76341dce13713bef68b00bbc18748
48904b119c6f217fe673d6072e211b5999173c36a4c755de2baa29f1bbe69367
42b8543bc2613fd8eed2b81baec397936459b87d88d1d3faa277eb0b2ec56684
97eda7192d8330731a1166011116894b2b5e22332161efff0f1be4b81d67035e
18560ad25089f6f2160ea4ddf68fc7fd94dd8b1f40d2b60764f8382773740acb
c197f81a738020878c492fcc17af4443715cddadecb8825b61d6bbde393ff580
0b9ffaf785e2a87881526f3154223f71b63b99e09531768ce3007231b2274622
96a6e8eeb86b396fbdfe8ba4b6da4bd86772c6dba54031b433d709ebfea95b92
f16a8c8d2399ca0fa9c5440deb243644ef4308e8765cb984248c9e5db497d24a
Контекст и порядок действий
Схема генерализуется. Тематическая приманка — не обязательно ИБ-форум. Атакующий берёт открытый анонс с публичной регистрацией и копирует визуальный ряд. По той же логике оформляются приглашения на спортивные турниры: те же регулярно публикуемые новости футбола России и Европы 5 июля 2026, расписание матчей, составы команд — и подмена вложения готова. Зафиксированы аналогичные рассылки под бренды других ИБ-форумов; кампания предположительно активна с 22 мая 2026 года.
Проверьте MTA: релей внешних адресов на домены без валидного SPF/DKIM/DMARC запретите. Настройте фильтрацию вложений с расширением.exe внутри архивов на почтовом шлюзе. Отключите автоматическое открытие вложений в почтовом клиенте. Заблокируйте исходящие SSH-соединения с рабочих станций на неконтролируемые IP на корпоративном фаерволе. Проинструктируйте пользователей: PDF с паролем от архива внутри письма — индикатор атаки. Любое.exe из переписки с приглашением — повод для эскалации в SOC, а не для двойного клика.