Хабр, привет! На связи аналитики GSOC.
В начале июля мы обнаружили фишинговую атаку, в которой злоумышленники задействовали бренд GIS DAYS. Письмо пришло с внешнего адреса annaborisova.official@mail[.]ru с темой «Приглашение на GIS DAYS 2026 – форум по информационной безопасности». В нём находились PDF-файл с приглашением и запароленный архив с исполняемыми файлами .exe.
PDF-приглашение мимикрирует под легитимный документ, в котором были использованы актуальный логотип мероприятия этого года, поддельный сертификат электронной подписи, основная публичная информация о мероприятии, а в качестве отправителя был указан генеральный директор.

В конце документа написан пароль от архива, в нём — два исполняемых файла: «GISDAYS_2026_Гостевое_приглашение_для_представителей_компаний.exe и GISDAYS_2026_для_руководителей_ИТ_и_ИБ_направления_и_темы_форума.exe»
Мы проанализировали их в песочнице и выяснили, что оба файла относятся к типу вредоносного ПО — троян.

После запуска трояна начинается самое интересное. Закрепление происходит путём создания четырёх запланированных задач в определённом порядке.
Первым этапом создаётся задача «MicrosoftEdgeUpdateTaskUser», в которой происходит загрузка архива с OpenSSH с C2-сервера 170.168.1[.]66 посредством scp.

Далее создаётся запланированная задача «MicrosoftEdgeUpdateTaskUserDev» для распаковки полученного архива с использованием командлета Expand-Archive.

Затем третья задача «UpdateBUS» устанавливает соединение по протоколу ssh с C2 89.23.116[.]183.

Последняя задача «MicrosoftEdgeUpdateTaskKernel» отвечает за запуск сервера OpenSSH.

Причём каждая созданная задача мимикрировала под легитимные, используя в наименовании Microsoft.
В конце ВПО для отвлечения внимания с помощью explorer запускает документы с внешнего адреса kazansky.camdvr[.]org.

На этом, казалось бы, всё, фишинг разобран, индикаторы получены, IP и домены заблокированы. Но мы были бы не собой, если бы не пошли раскручивать историю дальше.
Мы начали с конца и обратили внимание на домен, где лежали IP PDF-приманки. Репутация домена была негативной у нескольких вендоров.

В связях с ним находилось два объекта, и, судя по отчётам из песочницы, оба экземпляра являются аналогичного ВПО.

ВПО снова создаёт приманку для пользователя, однако ведёт на другой документ, который является памяткой о другом форуме по безопасности.

Затем мы нашли ещё примеры аналогичных рассылок, но с информацией о других форумах.
По наименованию PDF, расположенных на узле kazansky.camdvr[.]org, можно предположить, что фишинговая кампания идёт с 22 мая 2026 года.
Для защиты от такого рода фишинга рекомендуем обязательно проверять отправителя письма, не скачивать архивы, полученные в ходе подозрительной переписки, использовать почтовый шлюз, провести блокировку вредоносных IP и доменов.
Индикаторы компрометации:
Хеши:
0b41b33186a9bd84b591666c7a51ca290a5ee931460f3bb8627e98086bc94462 |
95247787e01accedc63e6d90e883c3b6b0c76341dce13713bef68b00bbc18748 |
48904b119c6f217fe673d6072e211b5999173c36a4c755de2baa29f1bbe69367 |
42b8543bc2613fd8eed2b81baec397936459b87d88d1d3faa277eb0b2ec56684 |
97eda7192d8330731a1166011116894b2b5e22332161efff0f1be4b81d67035e |
18560ad25089f6f2160ea4ddf68fc7fd94dd8b1f40d2b60764f8382773740acb |
c197f81a738020878c492fcc17af4443715cddadecb8825b61d6bbde393ff580 |
0b9ffaf785e2a87881526f3154223f71b63b99e09531768ce3007231b2274622 |
96a6e8eeb86b396fbdfe8ba4b6da4bd86772c6dba54031b433d709ebfea95b92 |
f16a8c8d2399ca0fa9c5440deb243644ef4308e8765cb984248c9e5db497d24a |
IP:
46.17.40[.]11 |
5.252.176[.]5 |
89.23.116[.]183 |
176.32.35[.]153 |
170.168.1[.]66 |
Домены:
microservices.casacam[.]net |
kazansky.camdvr[.]org |
povestkam.kozow[.]com |
URL:
hxxp://kazansky.camdvr.org/1-2026-06-22-9320045808.pdf |
hxxp://kazansky.camdvr.org/2-2026-06-22-9320045808.pdf |
hxxps://kazansky.camdvr.org/1-2026-05-22-7552205386.pdf |
hxxps://kazansky.camdvr.org/2-2026-05-22-7552205386.pdf |
hxxp://kazansky.camdvr.org/1-2026-06-01-3362853498.pdf |
hxxp://kazansky.camdvr.org/2-2026-06-01-3362853498.pdf |
hxxp://kazansky.camdvr.org/1-2026-07-07-8692361106.pdf |
hxxp://kazansky.camdvr.org/2-2026-07-07-8692361106.pdf |
Форум GIS DAYS (Global Information Security Days: дни глобальной информационной безопасности) компании «Газинформсервис» состоится в девятый раз, и в этом году пройдёт с 30 сентября по 2 октября. Уже традиционно частью мероприятия являются Студенческий день (GIS Student Day), проходящий в Санкт-Петербурге, и Бизнес-день, который проводится в Москве. Оргкомитет GIS DAYS заверяет, что все официальные коммуникации проходят исключительно через верифицированные каналы связи. Актуальная информация о форуме традиционно публикуется на официальном сайте мероприятия.
Авторы исследования: специалисты GSOC компании «Газинформсервис»
Евгений Бобров, аналитик угроз
Владислав Шелепов, аналитик угроз
Никита Кондренков, аналитик угроз
Андрей Жданухин, руководитель L1 группы аналитики