18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл п��иходит уже в ответ на реакцию жертвы.
В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.
Что пришло
Утром в Gmail появилось письмо с Display Name «National Endowment for Democracy». Отправитель — daniel.knaus@hunterspropertyzm[.]com. Текст на английском: предложение гранта по направлению Russia & Eurasia, ссылка на якобы поданную ранее заявку, просьба о звонке, и упоминание прикреплённого документа.
Три вещи сразу привлекли внимание:
Домен —
hunterspropertyzm[.]com. Замбийская компания по недвижимости. Неned.org.Имя отправителя — Daniel Knaus. В NED такого сотрудника нет. Есть John Knaus — Senior Director for Asia.
«Предыдущая заявка» — получатель никогда не обращался в NED и не подавал заявок на гранты.
Проверка MIME-структуры: multipart/mixed → multipart/related → multipart/alternative → text/plain + text/html. Content-Disposition: attachment отсутствует. Письмо упоминает вложение, которого физически нет. Это техника «фантомного вложения»: первое письмо выглядит безобидно и устанавливает контакт, вредоносный документ отправляется в ответ — уже в контексте начатого диалога, где жертва сама попросила файл.
Анализ заголовков
Основные параметры
Параметр | Значение | Что не так |
|---|---|---|
From (display) | National Endowment for Democracy | Подделка |
From (envelope) |
| Не |
Return-Path |
| Совпадает с From |
Date |
| Таймзона MSK (Москва) |
Message-ID |
| SmartApe VPS |
Таймзона +0300 (MSK) в заголовке Date (13:50 MSK = 10:50 UTC) и Message-ID с хостнеймом SmartApe VPS являются индикаторами привязки к российской инфраструктуре.
Аутентификация
Проверка | Результат | Комментарий |
|---|---|---|
SPF | pass | Для |
DKIM | pass | Подписано ключом |
DMARC | отсутствует | From-домен не |
ARC (Google) | pass | Подтверждает цепочку, не легитимность |
SPF и DKIM проходят — но для домена отправки, а не для NED. Gmail отображает «National Endowment for Democracy» в Display Name, а проверки аутентификации проходят для hunterspropertyzm[.]com. Письмо попадает во входящие.
Цепочка доставки
# | Сервер | Описание |
|---|---|---|
1 |
| SmartApe VPS, DataPro, Москва. Источник |
2 |
| Релей. TLS 1.3 |
3 |
| Исходящий спам-фильтр. Оценка: unsure (0.39) |
4 |
| Gmail. TLS 1.3, AES-256-GCM. Доставлено во входящие |
Четырёхступенчатая цепочка: VPS (Москва) → выделенный релей → AntiSpamCloud (SpamExperts) → Gmail. AntiSpamCloud оценил письмо как «unsure» с рейтингом 0.39 — не заблокировал.
Социальная инженерия
Атакующий использовал несколько приёмов:
Приём | Реализация |
|---|---|
Имперсонация организации | Display Name: «National Endowment for Democracy». Реальный адрес, телефон и факс NED |
Подделка личности | Фамилия Knaus принадлежит реальному сотруднику (John Knaus). Имя заменено на Daniel |
Персонализация | Обращение по полному имени. Ссылка на якобы поданную заявку — полностью сфабрикована |
Создание возможности | «New simplified grant application process», «regional portfolio focused on Russia and Eurasia» |
Фантомное вложение | «I have attached a document» — вложение отсутствует в MIME |
Побуждение к контакту | Просьба о «brief call or exchange» — перевод в личный канал |
Качество социальной инженерии высокое. Атакующий изучил структуру NED: знает реальных сотрудников, правильный адрес офиса (1201 Pennsylvania Ave, NW, Suite 1100), телефон ((202) 378-9700) и направления работы. Заметная технич��ская ошибка — незакрытый HTML-тег </b> в plaintext-версии, что указывает на автоматическую генерацию скриптом.
Почему Gmail не заблокировал письмо
Ключевой вопрос: почему письмо попало во входящие, а не в спам? SPF и DKIM проходят — но для домена hunterspropertyzm[.]com, не для ned.org. Gmail проверяет аутентификацию для envelope-домена, а Display Name «National Endowment for Democracy» — просто текстовое поле, которое может содержать что угодно. DMARC-проверка не срабатывает, потому что From-домен в envelope — hunterspropertyzm[.]com, а не ned.org. Пока организации вроде NED не внедрят строгий DMARC с политикой reject, такие письма будут проходить.
Контекст: фишинг против NGO-сектора
Таргетированные фишинговые кампании против сотрудников НКО, журналистов и активистов — не новость. Организации Citizen Lab, Access Now и Amnesty Tech регулярно документируют подобные атаки. Грантовая тематика — одна из наиболее эффективных приманок: сотрудники NGO привыкли получать письма от фондов, а упоминание конкретного гранта создаёт ощущение легитимности. Атакующие рассчитывают на то, что получатель ответит, не проверив домен отправителя.
Верификация отправителя
Проверка по данным официального сайта NED (ned.org/about/staff/):
Параметр | В письме | В реальности |
|---|---|---|
Имя | Daniel Knaus | Не существует. Есть John Knaus (Senior Dir. for Asia) |
Email-домен |
|
|
Адрес офиса | 1201 Pennsylvania Ave, NW, Suite 1100 | Совпадает (публичная информация) |
Телефон | (202) 378-9700 | Совпадает (публичная информация) |
Направление R&E | Не указано | Miriam Lanskoy (Senior Director) |
Kill Chain
# | Этап | Описание |
|---|---|---|
1 | Подготовка инфраструктуры | Аренда VPS на SmartApe (Москва). Настройка SPF/DKIM для |
2 | Разведка цели | Сбор ФИО, email. Фабрикация легенды о предыдущей заявке в NED |
3 | Создание приманки | Письмо с имперсонацией NED: вымышленный сотрудник, реальные контакты |
4 | Доставка | Отправка с VPS через stableserver.net и antispamcloud.com. SPF/DKIM pass |
5 | Установление контакта | При ответе жертвы — переход к вредоносному документу или фишинговой форме |
Атака остановлена на этапе 4 — письмо распознано, ответ не отправлен.
IOC
Тип | Значение | Описание |
|---|---|---|
| Адрес отправителя | |
Domain |
| Домен отправки (Замбия) |
IP |
| SmartApe VPS, Москва |
Hostname |
| VPS отправки |
IP |
| Релей: stableserver.net |
IP |
| AntiSpamCloud |
Message-ID |
| Паттерн идентификатора |
MITRE ATT&CK
Техника | ID | Применение |
|---|---|---|
Phishing | T1566 | Фишинговое письмо с упоминанием вложения, отсутствующего в MIME (предположительно multi-stage) |
Masquerading: Match Legitimate Name or Location | T1036.005 | Имперсонация NED |
Phishing for Information | T1598 | Сбор информации о деятельности жертвы |
Gather Victim Identity Info | T1589 | Предварительный сбор ФИО и email |
Gather Victim Org Info | T1591 | Изучение грантовой деятельности NED |
Acquire Infrastructure: VPS | T1583.003 | SmartApe VPS |
Compromise Accounts: Email Accounts | T1586.002 | Аккаунт на |
User Execution | T1204.001 | Расчёт на ответ / открытие вложения |
Establish Accounts | T1585 | Вымышленная персона Daniel Knaus |
Что делать при получении подобного письма
Не отвечать и не кликать по ссылкам
Проверить домен отправителя — Display Name легко подделать. Проверяйте envelope From (Return-Path) и результаты SPF/DKIM — они показывают реальный домен отправки
Проверить сотрудника на официальном сайте организации
Посмотреть заголовки — Message-ID и таймзона в Date часто выдают реальную инфраструктуру
Пометить как фишинг в Gmail
Уведомить организацию, от чьего имени пришло письмо
Для сотрудников NGO, грантовых организаций и гражданского общества — такие кампании активны и высокотаргетированы. Атакующие изучают структуру организаций и создают убедительные легенды.
Выводы
Эта атака — хорошо подготовленный spear-phishing. Атакующий не рассылал массовый спам, а готовил персонализированное письмо с проверкой фактов: реальные контакты NED, реальная фамилия сотрудника, правдоподобная легенда. Техника «фантомного вложения» — когда письмо упоминает документ, но не содержит его — рассчитана на то, чтобы жертва ответила и запросила файл, открыв канал для второй волны атаки.
Использование VPS-хостинга в сочетании с промежуточными релеями и коммерческим спам-фильтром — паттерн, встречающийся в таргетированных кампаниях против сотрудников NGO, описанных в отчётах Citizen Lab и Access Now Digital Security Lab. Прямая атрибуция на основании только инфраструктуры невозможна — таймзона подделывается, хостинг доступен всем.
Полный отчёт (EN + RU, TLP:CLEAR) с IOC: github.com/afokin52/threat-intelligence