В начале марта специалисты центра мониторинга и реагирования GSOC компании «Газинформсервис» зафиксировали масштабную фишинговую кампанию: злоумышленники рассылают письма с заражённым Excel-файлом. Он содержит троян удалённого доступа Remcos RAT, позволяющий хакерам действовать от имени легитимного пользователя. Жертвами становятся компании в России и странах Азиатско-Тихоокеанского региона, а конкретно из сфер ИТ, ИКТ, логистики (транспортные компании и морские грузоперевозки), а также медицины (сектор ядерной медицины и производство медицинских изделий). В статье расскажем про кампанию и дадим рекомендации по защите от уязвимости.

Анализ фишингового письма

Одному из наших заказчиков пришло фишинговое письмо, отправленное с email biuro@alphaheat.pl с темой «Отправка: Исх. 9, ТКП Эко-Фильтр» с адреса 54.38.133[.]237.

Рисунок 1. Фишинговое письмо
Рисунок 1. Фишинговое письмо
Рисунок 2. Сессия в NTA с фишинговым письмом
Рисунок 2. Сессия в NTA с фишинговым письмом
Рисунок 3. События в SIEM с поиском по адресу и домену отправителя письма с фишингом
Рисунок 3. События в SIEM с поиском по адресу и домену отправителя письма с фишингом

В полях событий, связанных с рассматриваемым письмом, мы увидели вердикт, который указывал на эксплоит уязвимости в Microsoft Office — HEUR:Exploit.MSOffice.Generic.

Мы выяснили, что письмо содержало вредоносное вложение, через которое и должна была произойти атака, Excel-файл с эксплоитом — 189808.xls

Мы проанализировали события и получили данные о том, что это действительно была попытка атаки. После чего заблокировали IP-адрес отправителя.

В ходе анализа индикаторов, выявленных в письме, в связях с доменом отправителя на VirusTotal было найдено письмо, идентичное тому, что было обнаружено у нас. SHA-256 — Hash письма: e5536d0db4710c96c3112ebf148e3557f9fb8f200cd608f8b46a8fdec17a82a1.

Рисунок 4. Письмо, найденное на VirusTotal
Рисунок 4. Письмо, найденное на VirusTotal

В его артефактах мы нашли URL, который видели в подписи письма.

Рисунок 5. URL, найденный на VirusTotal
Рисунок 5. URL, найденный на VirusTotal
Рисунок 6. URL в письме, найденном в нашей организации
Рисунок 6. URL в письме, найденном в нашей организации

Отметим, что URL, домены и контакты, которые указывались в подписи писем, не вредоносные. Они были собраны из разных, не связанных между собой источников и использовались для того, чтобы рассылка выглядела более правдоподобно.

Через анализ на VirusTotal мы смогли обнаружить, что эта же фишинговая кампания была направлена как минимум на ещё одну российскую организацию, откуда и были добавлены исходные файлы письма на проверку.

Далее рассмотрим анализ вредоносного вложения.

Рисунок 7. Содержимое Excel-файла
Рисунок 7. Содержимое Excel-файла

Полученный Excel-файл мы отправили на проверку в sandbox. Результаты проверки выявили связь с С2 сервером — 192.3.176[.]237.

Рисунок 8. Обнаруженная связь с С2
Рисунок 8. Обнаруженная связь с С2

Вредоносный файл представлял собой эксплоит на уязвимость CVE-2017-11882 (BDU:2018-00096), содержащуюся в устаревших версиях Microsoft Office.

Эта уязвимость в редакторе уравнений из пакета Microsoft Office связана с неправильной обработкой объектов в оперативной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в контексте пользователя, открывшего вредоносный файл. Если жертва имеет права администратора, то злоумышленник сможет взять его систему под полный контроль — устанавливать программы, просматривать, изменять или уничтожать данные.

Также при анализе файла по хешу на Virustotal мы выявили PowerShell-скрипты, которые:

Загружали с С2 сервера vbs-файлы:

Рисунок 9. Выполняемый PowerShell код
Рисунок 9. Выполняемый PowerShell код
Рисунок 10. Раскодированная нагрузка base64
Рисунок 10. Раскодированная нагрузка base64

С 192.3.176[.]237. было связано большое количество файлов с плохой репутацией на VirusTotal, почти все они представляли собой похожие Excel-файлы, нацеленные на эксплуатацию уязвимости CVE-2017-11882 (BDU:2018-00096). Найденные письма и вложения содержали текст на разных языках. По этой информации видно, что в начале марта 2026-го проводилась международная фишинговая кампания.

Рисунок 11. Файлы, имеющие связи с192.3.176[.]237 на VirusTotal
Рисунок 11. Файлы, имеющие связи с192.3.176[.]237 на VirusTotal

Обнаруженные IP, с которыми устанавливают соединение Excel-файлы, являются C2 Remcos.

Remcos (Remote Control and Surveillance Software) — это софт для удалённого администрирования. Изначально это приложение разрабатывалось как легальный инструмент для управления компьютерами под управлением Windows. Однако, несмотря на его законное предназначение, Remcos получил печальную из��естность благодаря применению в кибератаках. Злоумышленники нередко эксплуатируют его для несанкционированного проникновения в системы, скрытого наблюдения за пользователями, а также в качестве средства для распространения вредоносных программ.  

Анализ кампаний на другие страны

Далее мы перешли к анализу связанных с С2 Remcos индикаторов. Выявили ещё два домена (один DGA), с которых происходила кампания фишинга на организации из стран Азиатско-Тихоокеанского региона.

Темы писем и их содержания были аналогичными нашему письму.

Рисунок 12. Пример письма
Рисунок 12. Пример письма

«….Уважаемые клиенты, ACB, уважаемые клиенты, документы о транзакциях, начиная с 3.03.2026, с номером счета 1xxxxx879. Ваш пароль — это номер вашего счета. Если вы не получаете электронные документы, прикрепленные к письму, из-за ограничения на отправку файлов слишком большого объема, пожалуйста, посетите официальный веб-сайт ACB / ACB ONE / ACB one BIZ и выберите пункт….».

Злоумышленники пытались выдать себя за легитимную коммерческую организацию shuiqianyeting[.]com или отправляли письма с домена, сгенерированного с помощью DGA — gsxshpltd[.]com. К письму также прилагался файл офисного пакета.

Репутация домена «коммерческой компании» аналогична репутации домена с Польши. Сам домен чистый, однако письма, связанные с ним, нет.

Рисунок 13. Репутация домена shuiqianyeting[.]com
Рисунок 13. Репутация домена shuiqianyeting[.]com

Вот ещё примеры фишинговых писем и приложенных к ним документов.

Рисунок 14. Письмо для корейской компании
Рисунок 14. Письмо для корейской компании
Рисунок 15. Фишинговый документ
Рисунок 15. Фишинговый документ
Рисунок 16. Второй фишинговый документ
Рисунок 16. Второй фишинговый документ

Рекомендации по устранению уязвимости CVE-2017-11882 (BDU:2018-00096)

  • Установите обновление безопасности для Microsoft Office, выпущенное в ноябре 2017, или более позднее заменяющее его обновление. Если используете неподдерживаемую версию Microsoft Office, лучше перейдите на поддерживаемую версию или на другой поддерживаемый продукт с аналогичным функционалом.

  • Перед открытием документов, приложенных к письмам от внешних отправителей, тщательно анализируйте письма, в особенности адрес отправителей. Если нет уверенности в отправителе, не открывайте вложения.

  • Не работайте с почтой и с офисными документами с учетных записей с правами администратора.

  • Используйте средства защиты информации, способные замечать и предотвращать эксплуатацию уязвимостей.

  • Рассмотрите возможность подключения к коммерческому SOC: специалисты центра мониторинга анализируют события ИБ 24/7, так что смогут вовремя заметить угрозу и оперативно её устранить.

Индикаторы компрометации

Индикаторы, выявленные при анализе кампании

189808.xls

MD5

3e9ef0aa0c63c21fd88804d258465648

SHA - 1

0e8c5f472e33961bdf1706ffad00e1568d595eca

SHA - 256

1e8965b4d9ff13d9a71f702f1290f1caec9a3569870b9cb4dd39182fd33b758a

Remcos C2

IP

192.3.176[.]237

URL

192.3.176[.]237[:]80/50000000000000000000000000.Php

Индикаторы, выявленные при анализе кампании на VirusTotal
Remcos C2

IP

172.94.100[.]226

Файлы, связанные с 192.3.176[.]237 :

Pedido de Compra_e9w8e8we88277.xls

MD5

80ea216322f3dd20134bcb13609bc54d

SHA-1

0bfe694ddc11ed405aa67f5991e8dd53a8a44a20

SHA-256

06d9d92b51d6801a4c359c7800644899583d4a5c93a842a072204d74f3fbd424

_168a8f539999c5aa8be06a620fdc7d0f9dc44ea28fc436218a1bb9fd04d273be.xls

MD5

f9d8154195f7557b910b97bef2df0c81

SHA-1

a5795db2ce82cf09fa67b8551eee6539943e54cf

SHA-256

168a8f539999c5aa8be06a620fdc7d0f9dc44ea28fc436218a1bb9fd04d273be

3b77ad9aca70f8d722320218c8e6d6422409cda9f51e2b222e351d0125504260.xls

MD5

43c77eee51413a35c515122cd0faf206

SHA-1

85b462e08440428da13c3f73d4f22933684d0ae9

SHA-256

3b77ad9aca70f8d722320218c8e6d6422409cda9f51e2b222e351d0125504260

4c73235d0ed7568a7cefc39649c588f0.file

MD5

4c73235d0ed7568a7cefc39649c588f0

SHA-1

e79206058496408dd1cfc2e96f9d730d40e5a9a8

SHA-256

412551d0d179d53bfa83258e19a2ade71af70a372dc2235ed10490f9217dd496

Hitno RFQ Molimo pregledajte priloene detalje.xls

MD5

e362412b15c861b187fa0762ff5c5581

SHA-1

5d4e84925cefa8e972b4283f7046243cae81cffc

SHA-256

5501dec4aed51de2c33ca105f5897cbb73f4d65e32b239877a30db918c7c2fea

6747a5acac297724c4f6cb2332c7b84d8f3776f190bddf469c625f052cf1de59

MD5

6c23e15df1ee49b9fa2122081a500cba

SHA-1

259de23358e27a056a1cc9ffb7392e9a84e9e4ce

SHA-256

6747a5acac297724c4f6cb2332c7b84d8f3776f190bddf469c625f052cf1de59

Trans_Europeasia_Requests.xls

MD5

1e3647602ee634e3f907a10a437a6a5c

SHA-1

fefe9175e193819492781d955426b8f20db8f18c

SHA-256

6a14b39ae8ac4a30b6345ff84e2afa19ec33e0e29178d803e723e783f1db3cff

EX2600572 MISIR IHRACATI HAKKINDA ISALY2602056.xls

MD5

e6b3e70f91c1412423da94ee67dcd2f9

SHA-1

e9e7f6726c4a4ff258fbe1d9b77671fe9a18db82

SHA-256

70f3f1092e5df170c6522ea35ed1c1caa0b44b5914c332e04f4136f5d9d0513b

_7558458b8c87d45007299a8a1e1af9c31627f20a7cc6b5d49e083c42249b1cc2.xls

MD5

4e00025e9e7314409f396b92d4293438

SHA-1

4d8e1f2a6d7e54948fda5f48a48d771d5dedea7a

SHA-256

7558458b8c87d45007299a8a1e1af9c31627f20a7cc6b5d49e083c42249b1cc2

818ce6d4783106f464ea36b948c76de53631164b37e2189f5a689deab76f4494.xls

MD5

a3953ffd7828e7d679438b70b2747b73

SHA-1

731c87650bff36fd457397d488f3443a3f922ba7

SHA-256

818ce6d4783106f464ea36b948c76de53631164b37e2189f5a689deab76f4494

5299d1e88f88cf593f1132dbe536bc12.file

MD5

5299d1e88f88cf593f1132dbe536bc12

SHA-1

8678f054366502337cc7eb73a9d0bc4d8a66008e

SHA-256

8b7f751fb4f0382b2ccf8382b9467e854abae80c2516f61d2e5e045e64789b3b

PO2157R STINSD.xla

MD5

8228f9b78dd4f93bdfda423c0b30f254

SHA-1

e1a23576c16003421942895cc789468563388064

SHA-256

8c6f181fa2742049a1c34ffbd78426d7ffb42f32abfbbc7e6c343980bd500b6c

PO332026.xla

MD5

ff1173db5f3e912aad226f3b19d2c928

SHA-1

39df65be8cf34c879ce8c40e02a2ecb9f04e1f47

SHA-256

8f62742a2a529a12295be70321622a85d62411d064882ca18e9f871c43dbd5bf

NEW RFQ CASE REF NO - 000102.vbs

MD5

be059cf8351f0958710bceaeeb8b5542

SHA-1

0ba68515c970c336677e6c744bd2576a8b0c23a4

SHA-256

a16727907b3f116a257311fb8436dbd3c6e15f39cf45e422aa525c0bff5d5533

mail20260304103911005.eml

MD5

8bc6ac68ec3984f22a96a5a1eb16a18a

SHA-1

73e5d110f783b35b4f1f5e93bbc5264a0b106d7a

SHA-256

aeaf7f32d40f0ef11e314e595734b28e15aea039e193a6b760164e7e8404aeeb

FİYAT TEKLİFİ HAKKINDA - 1700010630.xls

MD5

e8188f47b69afba9b295b961e9eb47d4

SHA-1

2223779f619bdd3632da2bb9118fe50092a79338

SHA-256

aee1d14e32cfe09436141a605cdb3f7b9216e11a9e7a094198a4b871a6d9a6a6

04-03-2026_16-25-13.zip

MD5

a6d5ba537532b632cabb9ce80ef1670e

SHA-1

5c2cd5ed1844e33b963af0d252143af1ae357acc

SHA-256

bd2c00f361efde942fd1c15856071a6f146423f314fffd2884073c501e34eed8

scee.hta

MD5

6aaa503df35c8e7fe493debf32e0acd0

SHA-1

78b4f3d6b7d2979249cfa184fc71334891e45a17

SHA-256

c43ed482b76f03e7e0939af3d009aedee98ef7f93f4f05cb3e2f60b5952ef2e9

Quotation RFQ.xla

MD5

cb9eb5cd26c77e1d3219323d90021602

SHA-1

b5b6d9fa34eb1403c5114ceece76466e5250fe5c

SHA-256

d5b81b9b94b92499a8bc6bedff84109a04772e56dbfc263b2395c48b6f1ab0d4

Домены

shuiqianyeting[.]com

gsxshpltd[.]com

alphaheat[.]pl

Авторы исследования: аналитики угроз GSOC компании «Газинформсервис»

  1. Евгений Бобров

  2. Владислав Шелепов

  3. Никита Кондренков