Хакеры 5 месяцев читали почту топ-менеджера биржи. Безопасность думала, что это обновляется Adobe
NewsMakerНекоторые секреты покидают компанию по маленькой капле, а не одним большим потоком.
Пять месяцев злоумышленники незаметно копировали переписку одного из руководителей крупной мировой фондовой биржи. По данным Symantec, атака была сосредоточена на единственной цели: получить непрерывный доступ к рабочей Outlook жертвы и собирать сведения о переговорах, календаре, контактах и внутренних решениях организации.
Способ первоначального заражения установить не удалось. Первую вредоносную активность заметили 10 октября 2025 года, когда на компьютере уже работали два замаскированных файла с системными привилегиями. Названия и расположение файлов имитировали компоненты Adobe Acrobat Reader и OneDrive, что помогало скрывать присутствие в системе.
Для сохранения доступа злоумышленники создавали запланированные задания Windows под видом служб Adobe, Lenovo и OneDrive. Задания запускали вредоносные компоненты каждые несколько минут или часов. Преступники регулярно перезаписывали настройки и меняли используемые файлы, затрудняя обнаружение активности.
Главным инструментом стал похититель почты на базе легальной библиотеки Aspose. Программа читала локальный файл Outlook с сообщениями, преобразовывала данные в удобный для выгрузки формат и выбирала письма за заданный период. Сначала злоумышленники разом забрали переписку за несколько месяцев, а затем каждые две-четыре недели копировали только новые сообщения.
Архивы отправлялись небольшими партиями через Dropbox и OneDrive. Для подключения к OneDrive злоумышленники использовали напрямую IP-адреса Microsoft, не создавая DNS-запросов к домену сервиса. Такой подход помогал маскировать передачу почта и передачу данных под обычный облачный трафик и снижал вероятность срабатывания средств защиты.
Атаку не удалось связать с известной группировкой. Команды и длительный сбор переписки указывают на шпионскую цель, однако данных для точной атрибуции оказалось недостаточно. Последнюю активность на компьютере жертвы зафиксировали 19 марта 2026 года. Symantec опубликовала индикаторы компрометации и рекомендует установить последние обновления защиты из своего бюллетеня.
Пять месяцев злоумышленники незаметно копировали переписку одного из руководителей крупной мировой фондовой биржи. По данным Symantec, атака была сосредоточена на единственной цели: получить непрерывный доступ к рабочей Outlook жертвы и собирать сведения о переговорах, календаре, контактах и внутренних решениях организации.
Способ первоначального заражения установить не удалось. Первую вредоносную активность заметили 10 октября 2025 года, когда на компьютере уже работали два замаскированных файла с системными привилегиями. Названия и расположение файлов имитировали компоненты Adobe Acrobat Reader и OneDrive, что помогало скрывать присутствие в системе.
Для сохранения доступа злоумышленники создавали запланированные задания Windows под видом служб Adobe, Lenovo и OneDrive. Задания запускали вредоносные компоненты каждые несколько минут или часов. Преступники регулярно перезаписывали настройки и меняли используемые файлы, затрудняя обнаружение активности.
Главным инструментом стал похититель почты на базе легальной библиотеки Aspose. Программа читала локальный файл Outlook с сообщениями, преобразовывала данные в удобный для выгрузки формат и выбирала письма за заданный период. Сначала злоумышленники разом забрали переписку за несколько месяцев, а затем каждые две-четыре недели копировали только новые сообщения.
Архивы отправлялись небольшими партиями через Dropbox и OneDrive. Для подключения к OneDrive злоумышленники использовали напрямую IP-адреса Microsoft, не создавая DNS-запросов к домену сервиса. Такой подход помогал маскировать передачу почта и передачу данных под обычный облачный трафик и снижал вероятность срабатывания средств защиты.
Атаку не удалось связать с известной группировкой. Команды и длительный сбор переписки указывают на шпионскую цель, однако данных для точной атрибуции оказалось недостаточно. Последнюю активность на компьютере жертвы зафиксировали 19 марта 2026 года. Symantec опубликовала индикаторы компрометации и рекомендует установить последние обновления защиты из своего бюллетеня.