mail-nation

Управляем почтой: от домена до конверсий

Новость

Анализ фишинговой рассылки под видом форума GIS DAYS 2026

В начале июля GSOC обнаружила фишинговую рассылку под брендом GIS DAYS 2026. Письма приходили с внешнего адреса annaborisova.official@mail[.]ru с темой «Генеральному директору. Приглашение на GIS DAYS 2026 – форум по информационной безопасности».

Анализ фишинговой рассылки под видом форума GIS DAYS 2026

Механика

PDF-приманка мимикрирует под легитимное приглашение: актуальный логотип мероприятия, поддельный сертификат ЭП, публичные данные о программе, подпись генерального директора. В конце PDF — пароль от архива (GISDAYS2026!Guest). Внутри архива два исполняемых файла с расширением.exe; сигнатура ВПО — crime_win_ZZ_OffTask__Trojan.

Закрепление через четыре запланированные задачи Windows. Имена мимикрируют под легитимные процессы Microsoft:

1. MicrosoftEdgeUpdateTaskUser — загрузка архива OpenSSH с C2 170.168.1[.]66 через scp.

2. MicrosoftEdgeUpdateTaskUserDev — распаковка через Expand-Archive.

3. UpdateBUS — SSH-соединение с C2 89.23.116[.]183.

4. MicrosoftEdgeUpdateTaskKernel — запуск OpenSSH-сервера.

На финальном этапе ВПО запускает explorer с обращением к внешнему узлу kazansky.camdvr[.]org — отвлечение оператора шумом легитимных документов.

Индикаторы компрометации

Заблокируйте на периметре почтового шлюза и прокси:

  • 170.168.1[.]66
  • 89.23.116[.]183
  • kazansky.camdvr[.]org
  • annaborisova.official@mail[.]ru

SHA-256 исполняемых файлов:

0b41b33186a9bd84b591666c7a51ca290a5ee931460f3bb8627e98086bc94462

95247787e01accedc63e6d90e883c3b6b0c76341dce13713bef68b00bbc18748

48904b119c6f217fe673d6072e211b5999173c36a4c755de2baa29f1bbe69367

42b8543bc2613fd8eed2b81baec397936459b87d88d1d3faa277eb0b2ec56684

97eda7192d8330731a1166011116894b2b5e22332161efff0f1be4b81d67035e

18560ad25089f6f2160ea4ddf68fc7fd94dd8b1f40d2b60764f8382773740acb

c197f81a738020878c492fcc17af4443715cddadecb8825b61d6bbde393ff580

0b9ffaf785e2a87881526f3154223f71b63b99e09531768ce3007231b2274622

96a6e8eeb86b396fbdfe8ba4b6da4bd86772c6dba54031b433d709ebfea95b92

f16a8c8d2399ca0fa9c5440deb243644ef4308e8765cb984248c9e5db497d24a

Контекст и порядок действий

Схема генерализуется. Тематическая приманка — не обязательно ИБ-форум. Атакующий берёт открытый анонс с публичной регистрацией и копирует визуальный ряд. По той же логике оформляются приглашения на спортивные турниры: те же регулярно публикуемые новости футбола России и Европы 5 июля 2026, расписание матчей, составы команд — и подмена вложения готова. Зафиксированы аналогичные рассылки под бренды других ИБ-форумов; кампания предположительно активна с 22 мая 2026 года.

Проверьте MTA: релей внешних адресов на домены без валидного SPF/DKIM/DMARC запретите. Настройте фильтрацию вложений с расширением.exe внутри архивов на почтовом шлюзе. Отключите автоматическое открытие вложений в почтовом клиенте. Заблокируйте исходящие SSH-соединения с рабочих станций на неконтролируемые IP на корпоративном фаерволе. Проинструктируйте пользователей: PDF с паролем от архива внутри письма — индикатор атаки. Любое.exe из переписки с приглашением — повод для эскалации в SOC, а не для двойного клика.