Хабр, привет! На связи аналитики GSOC.

В начале июля мы обнаружили фишинговую атаку, в которой злоумышленники задействовали бренд GIS DAYS. Письмо пришло с внешнего адреса annaborisova.official@mail[.]ru с темой «Приглашение на GIS DAYS 2026 – форум по информационной безопасности». В нём находились PDF-файл с приглашением и запароленный архив с исполняемыми файлами .exe.

PDF-приглашение мимикрирует под легитимный документ, в котором были использованы актуальный логотип мероприятия этого года, поддельный сертификат электронной подписи, основная публичная информация о мероприятии, а в качестве отправителя был указан генеральный директор.

Рисунок 1. PDF-документ
Рисунок 1. PDF-документ

В конце документа написан пароль от архива, в нём — два исполняемых файла: «GISDAYS_2026_Гостевое_приглашение_для_представителей_компаний.exe  и GISDAYS_2026_для_руководителей_ИТ_и_ИБ_направления_и_темы_форума.exe»

Мы проанализировали их в песочнице и выяснили, что оба файла относятся к типу вредоносного ПО — троян.

Рисунок 2. Вердикт по трояну
Рисунок 2. Вердикт по трояну

После запуска трояна начинается самое интересное. Закрепление происходит путём создания четырёх запланированных задач в определённом порядке.

Первым этапом создаётся задача «MicrosoftEdgeUpdateTaskUser», в которой происходит загрузка архива с OpenSSH с C2-сервера 170.168.1[.]66 посредством scp.

Рисунок 3. Создание задачи для загрузки архива
Рисунок 3. Создание задачи для загрузки архива

Далее создаётся запланированная задача «MicrosoftEdgeUpdateTaskUserDev» для распаковки полученного архива с использованием командлета Expand-Archive.

Рисунок 4. Создание задачи для распаковки архива
Рисунок 4. Создание задачи для распаковки архива

Затем третья задача «UpdateBUS» устанавливает соединение по протоколу ssh с C2 89.23.116[.]183.

Рисунок 5. Создание задачи для установки соединения с C2-сервером
Рисунок 5. Создание задачи для установки соединения с C2-сервером

Последняя задача «MicrosoftEdgeUpdateTaskKernel» отвечает за запуск сервера OpenSSH.

Рисунок 6. Создание задачи для запуска сервера OpenSSH
Рисунок 6. Создание задачи для запуска сервера OpenSSH

Причём каждая созданная задача мимикрировала под легитимные, используя в наименовании Microsoft.

В конце ВПО для отвлечения внимания с помощью explorer запускает документы с внешнего адреса kazansky.camdvr[.]org.

Рисунок 7. Запуск проводника для открытия pdf
Рисунок 7. Запуск проводника для открытия pdf
Рисунок 8. Открытие приглашения
Рисунок 8. Открытие приглашения

На этом, казалось бы, всё, фишинг разобран, индикаторы получены, IP и домены заблокированы. Но мы были бы не собой, если бы не пошли раскручивать историю дальше.

Мы начали с конца и обратили внимание на домен, где лежали IP PDF-приманки. Репутация домена была негативной у нескольких вендоров.

Рисунок 9. Репутация домена
Рисунок 9. Репутация домена

В связях с ним находилось два объекта, и, судя по отчётам из песочницы, оба экземпляра являются аналогичного ВПО.

Рисунок 10. Выполнение команд другим ВПО
Рисунок 10. Выполнение команд другим ВПО

ВПО снова создаёт приманку для пользователя, однако ведёт на другой документ, который является памяткой о другом форуме по безопасности.

Рисунок 11. Информация о другом форуме
Рисунок 11. Информация о другом форуме

Затем мы нашли ещё примеры аналогичных рассылок, но с информацией о других форумах.

Рисунок 12. Фишинговый документ на интернет-ресурсе
Рисунок 12. Фишинговый документ на интернет-ресурсе

По наименованию PDF, расположенных на узле kazansky.camdvr[.]org, можно предположить, что фишинговая кампания идёт с 22 мая 2026 года.

Для защиты от такого рода фишинга рекомендуем обязательно проверять отправителя письма, не скачивать архивы, полученные в ходе подозрительной переписки, использовать почтовый шлюз, провести блокировку вредоносных IP и доменов.

Индикаторы компрометации:

Хеши:

0b41b33186a9bd84b591666c7a51ca290a5ee931460f3bb8627e98086bc94462

95247787e01accedc63e6d90e883c3b6b0c76341dce13713bef68b00bbc18748

48904b119c6f217fe673d6072e211b5999173c36a4c755de2baa29f1bbe69367

42b8543bc2613fd8eed2b81baec397936459b87d88d1d3faa277eb0b2ec56684

97eda7192d8330731a1166011116894b2b5e22332161efff0f1be4b81d67035e

18560ad25089f6f2160ea4ddf68fc7fd94dd8b1f40d2b60764f8382773740acb

c197f81a738020878c492fcc17af4443715cddadecb8825b61d6bbde393ff580

0b9ffaf785e2a87881526f3154223f71b63b99e09531768ce3007231b2274622

96a6e8eeb86b396fbdfe8ba4b6da4bd86772c6dba54031b433d709ebfea95b92

f16a8c8d2399ca0fa9c5440deb243644ef4308e8765cb984248c9e5db497d24a

IP:

46.17.40[.]11

5.252.176[.]5

89.23.116[.]183

176.32.35[.]153

170.168.1[.]66

Домены:

microservices.casacam[.]net

kazansky.camdvr[.]org

povestkam.kozow[.]com

URL:

hxxp://kazansky.camdvr.org/1-2026-06-22-9320045808.pdf

hxxp://kazansky.camdvr.org/2-2026-06-22-9320045808.pdf

hxxps://kazansky.camdvr.org/1-2026-05-22-7552205386.pdf

hxxps://kazansky.camdvr.org/2-2026-05-22-7552205386.pdf

hxxp://kazansky.camdvr.org/1-2026-06-01-3362853498.pdf

hxxp://kazansky.camdvr.org/2-2026-06-01-3362853498.pdf

hxxp://kazansky.camdvr.org/1-2026-07-07-8692361106.pdf

hxxp://kazansky.camdvr.org/2-2026-07-07-8692361106.pdf


Форум GIS DAYS (Global Information Security Days: дни глобальной информационной безопасности) компании «Газинформсервис» состоится в девятый раз, и в этом году пройдёт с 30 сентября по 2 октября. Уже традиционно частью мероприятия являются Студенческий день (GIS Student Day), проходящий в Санкт-Петербурге, и Бизнес-день, который проводится в Москве. Оргкомитет GIS DAYS заверяет, что все официальные коммуникации проходят исключительно через верифицированные каналы связи. Актуальная информация о форуме традиционно публикуется на официальном сайте мероприятия.

Авторы исследования: специалисты GSOC компании «Газинформсервис»

  1. Евгений Бобров, аналитик угроз

  2. Владислав Шелепов, аналитик угроз

  3. Никита Кондренков, аналитик угроз

  4. Андрей Жданухин, руководитель L1 группы аналитики