письмо
письмо

18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы.

В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

Что пришло

Утром в Gmail появилось письмо с Display Name «National Endowment for Democracy». Отправитель — daniel.knaus@hunterspropertyzm[.]com. Текст на английском: предложение гранта по направлению Russia & Eurasia, ссылка на якобы поданную ранее заявку, просьба о звонке, и упоминание прикреплённого документа.

Три вещи сразу привлекли внимание:

  1. Доменhunterspropertyzm[.]com. Замбийская компания по недвижимости. Не ned.org.

  2. Имя отправителя — Daniel Knaus. В NED такого сотрудника нет. Есть John Knaus — Senior Director for Asia.

  3. «Предыдущая заявка» — получатель никогда не обращался в NED и не подавал заявок на гранты.

Проверка MIME-структуры: multipart/mixedmultipart/relatedmultipart/alternativetext/plain + text/html. Content-Disposition: attachment отсутствует. Письмо упоминает вложение, которого физически нет. Это техника «фантомного вложения»: первое письмо выглядит безобидно и устанавливает контакт, вредоносный документ отправляется в ответ — уже в контексте начатого диалога, где жертва сама попросила файл.

Анализ заголовков

Основные параметры

Параметр

Значение

Что не так

From (display)

National Endowment for Democracy

Подделка

From (envelope)

daniel.knaus@hunterspropertyzm[.]com

Не ned.org

Return-Path

daniel.knaus@hunterspropertyzm[.]com

Совпадает с From

Date

Wed, 18 Feb 2026 13:50:38 +0300

Таймзона MSK (Москва)

Message-ID

...@s1277447.smartape-vps[.]com

SmartApe VPS

Таймзона +0300 (MSK) в заголовке Date (13:50 MSK = 10:50 UTC) и Message-ID с хостнеймом SmartApe VPS являются индикаторами привязки к российской инфраструктуре.

Аутентификация

Проверка

Результат

Комментарий

SPF

pass

Для hunterspropertyzm[.]com, не для ned.org

DKIM

pass

Подписано ключом hunterspropertyzm[.]com

DMARC

отсутствует

From-домен не ned.org — не проверяется

ARC (Google)

pass

Подтверждает цепочку, не легитимность

SPF и DKIM проходят — но для домена отправки, а не для NED. Gmail отображает «National Endowment for Democracy» в Display Name, а проверки аутентификации проходят для hunterspropertyzm[.]com. Письмо попадает во входящие.

Цепочка доставки

#

Сервер

Описание

1

188[.]127[.]227[.]111 / s1277447.smartape-vps[.]com

SmartApe VPS, DataPro, Москва. Источник

2

192[.]250[.]227[.]159 / s12759.usc1.stableserver[.]net

Релей. TLS 1.3

3

185[.]201[.]18[.]54 / out16-54.antispamcloud.com

Исходящий спам-фильтр. Оценка: unsure (0.39)

4

mx.google.com

Gmail. TLS 1.3, AES-256-GCM. Доставлено во входящие

Четырёхступенчатая цепочка: VPS (Москва) → выделенный релей → AntiSpamCloud (SpamExperts) → Gmail. AntiSpamCloud оценил письмо как «unsure» с рейтингом 0.39 — не заблокировал.

Социальная инженерия

Атакующий использовал несколько приёмов:

Приём

Реализация

Имперсонация организации

Display Name: «National Endowment for Democracy». Реальный адрес, телефон и факс NED

Подделка личности

Фамилия Knaus принадлежит реальному сотруднику (John Knaus). Имя заменено на Daniel

Персонализация

Обращение по полному имени. Ссылка на якобы поданную заявку — полностью сфабрикована

Создание возможности

«New simplified grant application process», «regional portfolio focused on Russia and Eurasia»

Фантомное вложение

«I have attached a document» — вложение отсутствует в MIME

Побуждение к контакту

Просьба о «brief call or exchange» — перевод в личный канал

Качество социальной инженерии высокое. Атакующий изучил структуру NED: знает реальных сотрудников, правильный адрес офиса (1201 Pennsylvania Ave, NW, Suite 1100), телефон ((202) 378-9700) и направления работы. Заметная техническая ошибка — незакрытый HTML-тег </b> в plaintext-версии, что указывает на автоматическую генерацию скриптом.

Почему Gmail не заблокировал письмо

Ключевой вопрос: почему письмо попало во входящие, а не в спам? SPF и DKIM проходят — но для домена hunterspropertyzm[.]com, не для ned.org. Gmail проверяет аутентификацию для envelope-домена, а Display Name «National Endowment for Democracy» — просто текстовое поле, которое может содержать что угодно. DMARC-проверка не срабатывает, потому что From-домен в envelope — hunterspropertyzm[.]com, а не ned.org. Пока организации вроде NED не внедрят строгий DMARC с политикой reject, такие письма будут проходить.

Контекст: фишинг против NGO-сектора

Таргетированные фишинговые кампании против сотрудников НКО, журналистов и активистов — не новость. Организации Citizen Lab, Access Now и Amnesty Tech регулярно документируют подобные атаки. Грантовая тематика — одна из наиболее эффективных приманок: сотрудники NGO привыкли получать письма от фондов, а упоминание конкретного гранта создаёт ощущение легитимности. Атакующие рассчитывают на то, что получатель ответит, не проверив домен отправителя.

Верификация отправителя

Проверка по данным официального сайта NED (ned.org/about/staff/):

Параметр

В письме

В реальности

Имя

Daniel Knaus

Не существует. Есть John Knaus (Senior Dir. for Asia)

Email-домен

hunterspropertyzm[.]com

ned.org

Адрес офиса

1201 Pennsylvania Ave, NW, Suite 1100

Совпадает (публичная информация)

Телефон

(202) 378-9700

Совпадает (публичная информация)

Направление R&E

Не указано

Miriam Lanskoy (Senior Director)

Kill Chain

#

Этап

Описание

1

Подготовка инфраструктуры

Аренда VPS на SmartApe (Москва). Настройка SPF/DKIM для hunterspropertyzm[.]com

2

Разведка цели

Сбор ФИО, email. Фабрикация легенды о предыдущей заявке в NED

3

Создание приманки

Письмо с имперсонацией NED: вымышленный сотрудник, реальные контакты

4

Доставка

Отправка с VPS через stableserver.net и antispamcloud.com. SPF/DKIM pass

5

Установление контакта

При ответе жертвы — переход к вредоносному документу или фишинговой форме

Атака остановлена на этапе 4 — письмо распознано, ответ не отправлен.

IOC

Тип

Значение

Описание

Email

daniel.knaus@hunterspropertyzm[.]com

Адрес отправителя

Domain

hunterspropertyzm[.]com

Домен отправки (Замбия)

IP

188[.]127[.]227[.]111

SmartApe VPS, Москва

Hostname

s1277447.smartape-vps[.]com

VPS отправки

IP

192[.]250[.]227[.]159

Релей: stableserver.net

IP

185[.]201[.]18[.]54

AntiSpamCloud

Message-ID

177141183849.635335.*@s1277447.smartape-vps[.]com

Паттерн идентификатора

MITRE ATT&CK

Техника

ID

Применение

Phishing

T1566

Фишинговое письмо с упоминанием вложения, отсутствующего в MIME (предположительно multi-stage)

Masquerading: Match Legitimate Name or Location

T1036.005

Имперсонация NED

Phishing for Information

T1598

Сбор информации о деятельности жертвы

Gather Victim Identity Info

T1589

Предварительный сбор ФИО и email

Gather Victim Org Info

T1591

Изучение грантовой деятельности NED

Acquire Infrastructure: VPS

T1583.003

SmartApe VPS

Compromise Accounts: Email Accounts

T1586.002

Аккаунт на hunterspropertyzm[.]com

User Execution

T1204.001

Расчёт на ответ / открытие вложения

Establish Accounts

T1585

Вымышленная персона Daniel Knaus

Что делать при получении подобного письма

  1. Не отвечать и не кликать по ссылкам

  2. Проверить домен отправителя — Display Name легко подделать. Проверяйте envelope From (Return-Path) и результаты SPF/DKIM — они показывают реальный домен отправки

  3. Проверить сотрудника на официальном сайте организации

  4. Посмотреть заголовки — Message-ID и таймзона в Date часто выдают реальную инфраструктуру

  5. Пометить как фишинг в Gmail

  6. Уведомить организацию, от чьего имени пришло письмо

Для сотрудников NGO, грантовых организаций и гражданского общества — такие кампании активны и высокотаргетированы. Атакующие изучают структуру организаций и создают убедительные легенды.

Выводы

Эта атака — хорошо подготовленный spear-phishing. Атакующий не рассылал массовый спам, а готовил персонализированное письмо с проверкой фактов: реальные контакты NED, реальная фамилия сотрудника, правдоподобная легенда. Техника «фантомного вложения» — когда письмо упоминает документ, но не содержит его — рассчитана на то, чтобы жертва ответила и запросила файл, открыв канал для второй волны атаки.

Использование VPS-хостинга в сочетании с промежуточными релеями и коммерческим спам-фильтром — паттерн, встречающийся в таргетированных кампаниях против сотрудников NGO, описанных в отчётах Citizen Lab и Access Now Digital Security Lab. Прямая атрибуция на основании только инфраструктуры невозможна — таймзона подделывается, хостинг доступен всем.

Полный отчёт (EN + RU, TLP:CLEAR) с IOC: github.com/afokin52/threat-intelligence