Злоумышленники нашли способ обходить корпоративную защиту с помощью комбинации знакомых инструментов. В начале апреля 2026 года специалисты подразделения eSentire Threat Response Unit (TRU) зафиксировали целенаправленное проникновение в инфраструктуру компании из юридического сектора. Атака объединила несколько приёмов: массовую рассылку ложных подписок на почту, звонки через Microsoft Teams и удалённое внедрение вредоносного Java-приложения. Весь процесс от первого контакта до запуска трояна занял менее двадцати минут.
Описание
Инцидент начался с классической техники заваливания почтового ящика. За полтора часа жертва получила 282 письма от 116 разных отправителей. Сообщения имитировали уведомления от интернет-магазинов, государственных порталов и сервисов потокового видео на семи языках. Письма были настоящими - злоумышленник просто вводил адрес жертвы в сотни публичных форм регистрации. Цель такой бомбардировки чисто операционная: вызвать у пользователя панику и создать повод для "помощи".
Примерно через сорок пять минут после пика почтового спама жертве позвонили через Microsoft Teams. Аккаунт отправителя выглядел как внутренняя служба поддержки: имя пользователя содержало слова helpdesk или itsupport, а отображаемое название организации включало IT-тематику. Злоумышленник сослался на недавний поток спама, предложил помочь очистить ящик и попросил запустить штатную утилиту удалённой помощи Windows - Quick Assist. Жертва согласилась. Уже через четыре минуты после начала сессии удалённого доступа злоумышленник начал выполнять команды разведки через командную строку.
Вместо того чтобы вводить команды напрямую, атакующий отправил жертве ссылку на Pastebin. Пользователь открыл её в браузере. На странице оказался простой текстовый список из четырёх пунктов: адрес для скачивания архива, путь для сохранения, имя каталога и расположение файла реестра. Злоумышленник просто зачитывал инструкции вслух, а пользователь выполнял их, глядя на экран. Со стороны это выглядело как обычное руководство от IT-специалиста. Pastebin почти никогда не блокируется на уровне сети, а сам формат человекочитаемого чек-листа позволяет использовать один документ для множества звонков, меняя только ссылку на загрузку.
Указанный в Pastebin архив InboxCorePro.zip оказался размещён в личном облачном хранилище OneDrive на скомпрометированном аккаунте Microsoft 365. Внутри архива находились три компонента: Java-архив (JAR-файл) с вредоносной программой, файл реестра для настройки автоматического запуска и полный дистрибутив OpenJDK версии 25.0.1. Встраивание собственной среды выполнения Java делает троян переносимым: ему не важно, установлена ли Java на компьютере жертвы. Пользователь распаковал архив, импортировал файл реестра и поместил ярлык в папку автозагрузки.
Исследователи из eSentire назвали обнаруженную вредоносную программу Nimbus RAT (удалённый троян). Ранее компания Rapid7 связывала это же семейство вредоносного ПО с деятельностью партнёров группировки BlackSuit, которая возникла после внутреннего конфликта в печально известном сообществе Black Basta. Технический анализ показал, что Nimbus RAT - полностью автономный имплант. Всего через несколько секунд после запуска он устанавливает связь с серверами управления через Google Drive и Google Sheets. Это ключевая особенность: вредоносный трафик выглядит как обычные вызовы API легитимных сервисов Google.
Специалисты TRU в своём отчёте детально описали механизмы работы трояна. Имплант использует три типа каналов связи, но в данной кампании активным оказался только канал через Google Drive. Раз в 45-75 секунд программа проверяет наличие файла с командой в заданной папке Google Drive. При получении команды "пробуждения" интервал опроса сокращается до 4-8 секунд на десять минут, что позволяет злоумышленнику работать почти в реальном времени. Весь обмен данными шифруется 4096-битным ключом RSA. Обнаружить такую активность на сетевом уровне почти невозможно, поскольку блокировка доменов googleapis.com или docs.google.com парализует работу многих компаний.
Функциональные возможности Nimbus RAT впечатляют. Троян умеет выполнять произвольные команды через командную строку, перемещаться по файловой системе, собирать сведения о системе и сети, делать снимки экрана и работать с реестром Windows. Отдельного внимания заслуживают два механизма кражи паролей. Первый - поддельное окно входа в Windows, выполненное средствами Java Swing. Диалог выглядит как настоящий: похититель показывает поддельную ошибку после первого ввода, жертва вводит пароль повторно, и оба варианта уходят злоумышленнику. Второй механизм вызывает настоящий системный диалог Windows CredUIPromptForCredentialsW через интерфейс JNA - это сложнее, но и убедительнее с точки зрения обычного пользователя.
Nimbus RAT не устанавливает автоматическое закрепление в системе. Вместо этого инструкции по автозапуску злоумышленник передаёт через Pastebin и файл реестра. Если компьютер изолируют до того, как атакующий успеет активировать закрепление через сервер управления, после перезагрузки троян исчезает. Это одновременно и слабость, и сила: механизмы закрепления могут меняться от кампании к кампании без изменения самого Java-архива.
Возможность выполнения произвольного Java-кода в памяти без записи на диск - ещё одна опасная опция. Команды jc и jcb позволяют злоумышленнику отправить на заражённую машину исходный код, который компилируется и исполняется прямо в оперативной памяти. Никакие файлы на диск не записываются, а значит, антивирусные сканеры, проверяющие файловую систему, такой активности не увидят.
Масштаб угрозы выходит далеко за рамки одного инцидента. Специалисты eSentire проанализировали телеметрию внешних сообщений Microsoft Teams за год - с мая 2025 по май 2026 года. Они выявили 1540 подозрительных событий в 172 разных корпоративных средах. Период с декабря 2025 по март 2026 года оказался самым активным: на него пришлось 57% всего объёма за год. В феврале 2026 года исследователи зафиксировали 408 событий - почти в восемь раз выше среднемесячной нормы.
Почти половина подозрительных аккаунтов использовала имена, имитирующие службу поддержки. Две трети сообщений приходили с доменов *.onmicrosoft.com - это временные арендованные домены Microsoft, не требующие оплаты. Злоумышленники массово создавали учётные записи с названиями вроде infratechopsdesk или itprotectiondepartment, а затем использовали их для звонков разным компаниям. Один такой арендованный домен был замечен при атаках на десять совершенно разных организаций.
В дополнение к временным аккаунтам атакующие регистрировали домены в зоне .top и начинали использовать их в течение 24-72 часов после регистрации. Названия доменов также имитировали службы безопасности: helpdock[.]top, info-secure[.]top, scan-security[.]top. Умышленные опечатки вроде sequrityupdate свидетельствуют о массовой автоматизированной регистрации в обход систем репутационных фильтров.
Восемьдесят процентов подозрительного трафика исходило из дата-центров и хостинг-провайдеров, а не из корпоративных сетей. Это важный признак для систем защиты: легитимные деловые партнёры обычно звонят из корпоративных IP-адресов, а злоумышленники арендуют серверы.
После развёртывания Nimbus RAT и сбора первичной информации исследователи обнаружили в облачном хранилище злоумышленника следы второй стадии атаки. Конфигурационный файл указывал на другую программу, названную InboxSetupPro, которая использует OneDrive для кражи данных. Путь local://C:/Users/.../signal/attachments.noindex/ указывает на сбор вложений из десктопного приложения Signal - защищённого мессенджера с шифрованием. Злоумышленники также сформировали архив размером 1,13 гигабайта с содержимым почтового ящика Outlook. Таким образом, цели атакующих выходили далеко за рамки первоначального доступа: они целенаправленно охотились за данными из разных каналов связи, включая защищённые.
Этот инцидент показывает, насколько сложной стала современная киберразведка. Злоумышленники не взламывают системы грубой силой. Они используют доверие пользователей к привычным инструментам: Microsoft Teams для звонков, Quick Assist для удалённой помощи, Pastebin для инструкций, Google Drive для управления и OneDrive для кражи. Каждый из этих сервисов по отдельности абсолютно легален, и блокировать их целиком невозможно. Защита должна быть многоуровневой: обучение пользователей, настройка политик безопасности для внешних коммуникаций, мониторинг нестандартной активности процессов и поведенческий анализ, а не только проверка трафика по спискам угроз.
Индикаторы компрометации
Domains
- googleapis.com
- helpdock.top
- info-secure.top
- non-onmicrosoft.com
- scan-security.top
- scanseq.top
- serviceprohub.top
- system-clean.top
URLs
- https://www.googleapis.com/auth/drive
Emails
- ironicblade@warm-access-490711-s6.iam.gserviceaccount.com
- onlyember@automated-atlas-492514-d5.iam.gserviceaccount.com
- pronopro@helpful-topic-492515-g1.iam.gserviceaccount.com
SHA256
- 91e523a46f3bb860ac2e5800b7e1ec89d75a2408410b9cd25eebc17c8d7a92bc
- 99813f3d0625e880158c68039c0e2fbf488db0be3db77cd1ce6d382644193f0e
- 9e5b1e10ad6904d3f5b48d38470cd57263974640a27d13cf793ef026d3d6b886