Партнёр подключил небольшого клиента из 25 конечных точек к платформе Huntress 15 мая 2026 года в 18:48 UTC. Уже через несколько часов, ранним утром следующего дня, SOC получил критическое оповещение на одной из машин. Обычно в таких разборах агент стоит на системе неделями, что даёт время собрать базовые показатели, логи и понять контекст сети. Но в этом случае внедрение произошло в середине инцидента: учётные данные уже были похищены, инструментарий развёрнут, и оставался только один вопрос - как быстро получится распутать вторжение в сети, которую аналитики знали лишь девять часов.
Описание
Первое оповещение пришло в 03:38:53 UTC 16 мая. Агент Huntress зафиксировал успешную аутентификацию через RDP с IP-адреса 212.93.152[.]37, который геолоцируется в Румынии. Примечательно, что клиент RDP представился как DESKTOP-[REDACTED] - имя рабочей станции, уже знакомое аналитикам по другим инцидентам у сторонних партнёров. Целевой хост оказался сервером Remote Desktop Session Host, который также выполнял роль RD Gateway и публиковал веб-портал RDWeb Access напрямую в интернет. Внешняя разведка подтвердила: портал отвечал на порту 443, и злоумышленник уже владел паролем.
IIS-логи портала за четыре дня показали 657 521 запрос от 8 673 уникальных IP. Из 206 444 POST-запросов на страницу входа только четыре вернули код 302 (успешное перенаправление) вместо 200 (повторная загрузка страницы с ошибкой). Все четыре успешных входа пришлись на одну и ту же опубликованную доменную учётную запись. Два из этих запросов были выполнены одним и тем же оператором: сначала с хостингового адреса 80.94.95[.]37 (Тимишоара, Румыния), затем с "чистого" домашнего IP 212.93.152[.]37, который не значился ни в одном списке злоупотреблений. Третий адрес 216.152.151[.]168 (дата-центр США) вёл себя как скрипт для брутфорса: после единственного успешного входа он вернулся к перебору и так и не открыл сессию.
Подтвердить факт повторного подключения помогли журналы терминальных служб. Как показал анализ событий Event ID 25 (TS-LocalSessionManager), в 03:36 UTC оператор не начинал новую сессию, а переподключился к существующей сессии 16, оставленной открытой с предыдущего дня. Без этого журнала картина была бы неполной - обычные логи безопасности Windows оказались почти пустыми из-за слабого аудита.
Истинная природа атаки раскрылась, когда аналитики изучили содержимое рабочего стола скомпрометированного пользователя. Там находилась папка с названием "dam pe uk puterniiicccc" - румынским сленгом, примерно означающим "мы жёстко накрыли UK". Внутри лежали три типа файлов: исполняемый файл gm.exe (коммерческая программа для массовой рассылки Gammadyne Mailer), проектный файл dracii.mmp (в переводе с румынского "дьяволы") и шесть текстовых файлов milk (1).txt - milk (6).txt, содержащих в общей сложности 8 894 920 адресов электронной почты.
Gammadyne Mailer - это легитимный, подписанный и коммерческий инструмент. Именно поэтому он не вызвал ни одного срабатывания антивируса: сигнатурные движки не видят в нём угрозы. Проектный файл dracii.mmp раскрыл полную конфигурацию фишинговой кампании. Письма маскировались под рассылку от сети аптек Boots: тема содержала персональные токены (дату, адрес получателя, случайный номер), а в теле предлагалось пройти опрос и получить бесплатный подарок. Семь заготовленных тем остались в черновиках, включая одну с незаполненным плейсхолдером "[Your Company]" - оператор явно не перепроверял шаблон.
Сама полезная нагрузка располагалась по адресу hxxps://ipelc.gob[.]bo/boots_store/. Это подкаталог на сайте боливийского государственного института IPELC (Instituto Plurinacional de Estudio de Lenguas y Culturas). Злоумышленники взломали подлинный правительственный домен .gob.bo, который автоматически проходит все репутационные фильтры, и разместили на нём клон магазина Boots. Фишинговая воронка на первом шаге предлагала пройти опрос, затем "бесплатный подарок", а на финальном этапе - форму сбора полных персональных данных: имя, email, дата рождения, телефон, адрес. Следующий шаг должен был запрашивать данные банковской карты.
Критический вопрос для партнёра: использовалась ли для рассылки собственная почтовая инфраструктура клиента? Если бы это произошло, домен клиента попал бы в блок-листы, и легитимная переписка была бы парализована на недели. К счастью, конфигурация dracii.mmp указывала прямую доставку direct-to-MX - почтовый клиент сам выполнял DNS-запросы MX и устанавливал соединения с серверами получателей на порт 25, минуя любой почтовый провайдер. После изоляции хоста средствами Huntress firewall в течение 104 секунд заблокировал 29 954 исходящих соединения от gm.exe к 1 641 различному почтовому серверу. Неизвестно, сколько писем успело уйти до изоляции, но кампания была остановлена именно в момент отправки.
Huntress отреагировал немедленно: массово изолировал все 25 конечных точек организации, пометил скомпрометированную учётную запись и передал партнёру инструкции по сбросу паролей на контроллере домена. Причина изоляции всей сети, а не только терминального сервера, - отсутствие многофакторной аутентификации. Поскольку злоумышленник владел валидным доменным паролем и мог проверить его на любом другом устройстве, единственный способ гарантировать безопасность - полностью заблокировать сетевую аутентификацию до выяснения всех деталей. Кроме того, Huntress уведомил боливийский национальный CSIRT (CGII/AGETIC) о компрометации правительственного домена, чтобы местные специалисты удалили фишинговый комплект.
Этот инцидент - классическая иллюстрация того, как простая, давно известная уязвимость (публичный RDP-портал без MFA) в сочетании с изобретательностью злоумышленника превращается в серьёзную угрозу. Украденный пароль не держали в секрете: его обнаружил даже сторонний скрипт-брутфорс, который просто продал или обменял находку. Сам фишинг не требовал сложных инструментов - только легитимный почтовый клиент, который не детектится антивирусами, и взломанный авторитетный домен, который проходит все фильтры репутации. Итоговая цель - персональные и финансовые данные миллионов жертв, которые злоумышленники планировали использовать для кражи личности или дальнейших атак.
Индикаторы компрометации
IPv4
- 212.93.152.37
- 216.152.151.168
- 80.94.95.37
- 87.251.64.134
URLs
- https://ipelc.gob.bo/boots_store/
SHA256
- 13ac78f8f2ed76a03c85f0cdef07e5463aa64458303c0949090fcd81868ba8ca
- 375c2c84e2ca022c565507523b75c9c08a455479861ea41fc9b9ff74b3453445
- 5d2ad1795b0dfc4a58424b2fa2f002246f653b119d362954ae270b6998e9d575
- 6c428acbd91be85fedf9cbb334457ddea08ff624d4de88041749578e968d62a8
- 7fda5f10a2bc212daaa467484c56eb8abf3f3681f6405c5c2fac16d4124e44ca
- 95fc58dc321b07ecc99d95359bcdee08a5beb519ead8e70e40f33928533a1b14
- c5ec55270af084d3c07d2918098d598bc2c5ca42f4189d69cdfcae2c958e5ec7
- dc8a31a104df44b76a05c3e6d4fbe85be243cc6db0ff25e298e25cc469715046