SANS раскрыла подробности атаки, выложила индикаторы компрометации (IoC)

SANS раскрыла подробности атаки, выложила индикаторы компрометации (IoC)

SANS раскрыла подробности атаки, выложила индикаторы компрометации (IoC)

Недавно организацию SANS Institute поразила фишинговая атака, в ходе которой киберпреступники смогли получить доступ к ящику электронной почты одного из сотрудников. Теперь SANS раскрыла детали атаки и выложила индикаторы компрометации (IoC).

На прошлой неделе стало известно, что группа киберпреступников смогла ввести в заблуждение служащего SANS, завладела его ящиком электронной почты и перенаправила себе 513 важных писем.

В результате злоумышленникам удалось завладеть в общей сложности 28 тыс. записей персональных данных, принадлежащих сотрудникам SANS.

Сама организация решила раскрыть все подробности взлома, чтобы максимально проинформировать сообщество исследователей в области кибербезопасности. Например, с помощью опубликованных IoC другие компаниями могут убедиться в том, что их не затронули операции киберпреступников.

По словам представителей SANS, атака началась с единственного фишингового письма, замаскированного под уведомление об общем доступе к файлу через SANS SharePoint. Сам файл якобы представлял собой таблицу под именем «Copy of July Bonus 24JUL2020.xls».

В письме также находилась кнопка «Open», которую адресату предлагали нажать, чтобы получить доступ к файлу.

 

После клика по кнопке браузер открывал страницу https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.]com/index.html, которая сразу же предлагала пользователю ввести учётные данные от аккаунта Office 365.

При этом на компьютер жертвы устанавливался OAuth-аддон Microsoft Office OAuth под именем «Enable4Excel». После установки вредоносное приложение начинало мониторить электронные письма, пытаясь найти в них определённые ключевые слова.

Если такие слова находились, само письмо тут же отправлялось на специальный адрес — daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com. Список ключевых слов выглядел так:

  • agreement
  • Bank
  • bic
  • capital call
  • cash
  • Contribution
  • dividend
  • fund
  • iban
  • Payment
  • purchase
  • shares
  • swift
  • transfer
  • Wire
  • wiring info

Полные индикаторы компрометацию можно найти на официальном сайте SANS. Эксперты утверждают, что киберпреступники атаковали и другие компании этой же схемой.

Почти 40% киберугроз скрываются в архивах RAR, ZIP и 7Z

Архивы остаются одним из самых популярных способов доставки зловреда в корпоративные сети. По данным ГК «Солар», в 2025 году на них пришлось около 37% всех киберугроз. Причина проста: архив является удобной упаковкой для атаки.

Внутри могут скрываться LNK, BAT, VBS, EXE и целые цепочки загрузчиков, а снаружи всё выглядит как обычный «договор» или «счёт». Пользователь скачивает файл и сам запускает атаку.

Дополнительная проблема — защита. Если архив запаролен или вложен в другой контейнер, проверить его содержимое стандартными средствами бывает сложно. Этим злоумышленники активно пользуются.

По статистике, чаще всего для атак используют форматы RAR, ZIP и 7Z. На RAR приходится около 24% всех архивных угроз. Также всё чаще встречаются TAR и образы дисков вроде ISO, их используют в более сложных сценариях.

Интересно, что значительная часть таких файлов попадает к пользователям не через почту, а напрямую через браузер. Люди скачивают их с поддельных сайтов, из поисковой выдачи или облачных сервисов. По оценкам «Солара», до 22% вредоносных загрузок приходятся именно на веб-канал.

При этом даже почтовая защита не всегда спасает: около 12% опасных вложений всё равно доходят до пользователей.

В 2026 году ситуация не изменилась. Только за два месяца системы Solar webProxy зафиксировали десятки тысяч попыток передачи архивов с подозрительным содержимым. Около 24 тыс. из них — это попытки скачать через браузер вредоносные файлы.

Атаки становятся всё более многоступенчатыми. Например, пользователю могут прислать архив с «ТЗ», внутри которого скрыт зловред, загружающий скрипты с легитимных сайтов. Или подсунуть поддельную страницу загрузки популярного софта, где вместо программы лежит архив с троянизированным установщиком.

Иногда используются сразу несколько каналов: почта, ссылки на GitHub, одноразовые файлообменники. Причём сами архивы тоже эволюционируют — вместо очевидных EXE всё чаще используют BAT, VBS или LNK-файлы, замаскированные под документы.

RSS: Новости на портале Anti-Malware.ru