
Специалисты GSOC обнаружили фишинговую атаку с использованием бренда GIS DAYS
Gazinformservice 5 минут назад Специалисты GSOC обнаружили фишинговую атаку с использованием бренда GIS DAYS 4 мин 85 Блог компании Газинформсервис Информационная безопасность * Аналитика Хабр, привет! На связи...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Значимый прорыв формирует отрасль ИИ: Gazinformservice 5 минут назад Специалисты GSOC обнаружили фишинговую атаку с использованием бренда GIS DAYS 4 мин 85 Блог компании Газинформсервис Информационная безопасность * Аналитика Хабр, привет! На связи аналитики GSOC. В начале июля мы обнаружили фишинговую атаку, в которой злоумышленники задействовали бренд GIS DAYS.
Письмо пришло с внешнего адреса annaborisova. official@mailru с темой «Приглашение на GIS DAYS 2026 – форум по информационной безопасности». В нём находились PDF-файл с приглашением и запароленный архив с исполняемыми файлами .
Технические детали
PDF-приглашение мимикрирует под легитимный документ, в котором были использованы актуальный логотип мероприятия этого года, поддельный сертификат электронной подписи, основная публичная информация о мероприятии, а в качестве отправителя был указан генеральный директор. PDF-документ В конце документа написан пароль от архива, в нём — два исполняемых файла: «GISDAYS_2026_Гостевое_приглашение_для_представителей_компаний. exe и GISDAYS_2026_для_руководителей_ИТ_и_ИБ_направления_и_темы_форума.
exe»Мы проанализировали их в песочнице и выяснили, что оба файла относятся к типу вредоносного ПО — троян. Вердикт по троянуПосле запуска трояна начинается самое интересное. Закрепление происходит путём создания четырёх запланированных задач в определённом порядке.
Первым этапом создаётся задача «MicrosoftEdgeUpdateTaskUser», в которой происходит загрузка архива с OpenSSH с C2-сервера 170. Создание задачи для загрузки архиваДалее создаётся запланированная задача «MicrosoftEdgeUpdateTaskUserDev» для распаковки полученного архива с использованием командлета Expand-Archive. Создание задачи для распаковки архиваЗатем третья задача «UpdateBUS» устанавливает соединение по протоколу ssh с C2 89.
Отраслевые последствия
Создание задачи для установки соединения с C2-серверомПоследняя задача «MicrosoftEdgeUpdateTaskKernel» отвечает за запуск сервера OpenSSH. Создание задачи для запуска сервера OpenSSHПричём каждая созданная задача мимикрировала под легитимные, используя в наименовании Microsoft. В конце ВПО для отвлечения внимания с помощью explorer запускает документы с внешнего адреса kazansky.
Запуск проводника для открытия pdfРисунок 8. Открытие приглашенияНа этом, казалось бы, всё, фишинг разобран, индикаторы получены, IP и домены заблокированы. Но мы были бы не собой, если бы не пошли раскручивать историю дальше.
Мы начали с конца и обратили внимание на домен, где лежали IP PDF-приманки. Репутация домена была негативной у нескольких вендоров. Репутация доменаВ связях с ним находилось два объекта, и, судя по отчётам из песочницы, оба экземпляра являются аналогичного ВПО.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





