Крупная киберкампания использует поддельные приглашения на праздники для скрытой установки инструментов удаленного управления

Атакующие используют разнообразные методы маскировки. Помимо праздничных приглашений, они активно рассылают письма, имитирующие налоговые уведомления, счета на оплату, напоминания о просроченных платежах, приглашения на Zoom-конференции и документы, требующие электронной подписи. Каждое такое сообщение содержит вредоносные URL-адреса, ведущие к установочным файлам исполняемых программ или MSI-инсталляторов. Примечательно, что некоторые из этих файлов имеют цифровую подпись, что повышает их доверительность в глазах потенциальных жертв.

Изначально кампания, отслеживаемая с апреля 2025 года, была сосредоточена на распространении программного обеспечения ScreenConnect. Этот инструмент удаленного управления и мониторинга (Remote Management and Monitoring, RMM) затем использовался для загрузки дополнительного вредоносного инструментария. Среди регулярно используемых утилит эксперты выделяют HideMouse.exe, предназначенную для скрытия перемещений курсора мыши, WebBrowserPassView - инструмент восстановления паролей из веб-браузеров, и Defender Control - утилиту для отключения защитных механизмов Windows Defender.

Однако с лета 2025 года тактика злоумышленников существенно изменилась. Начиная с июня, к ScreenConnect добавилась установка SimpleHelp. В конце августа в арсенале атакующих появились PDQ и Atera. С октября основное внимание сместилось в сторону LogMeIn Resolve и Naverisk, которые устанавливаются параллельно с ScreenConnect.

Наиболее интересной особенностью новой тактики стало разнесение во времени установки различных RMM-инструментов. Например, в одной из пораженных организаций первоначальное заражение через ScreenConnect произошло в августе 2025 года. Через месяц, 20 сентября, была установлена обновленная версия ConnectWise, а уже на следующий день - LogMeIn Resolve. В другом зафиксированном случае 31 октября 2025 года сначала был установлен LogMeIn Resolve, который немедленно использовался для инсталляции ScreenConnect, а 6 ноября на ту же машину добавился Naverisk.

Мотивы использования множества RMM-инструментов остаются не до конца ясными. Специалисты рассматривают несколько возможных объяснений. Во-первых, постоянная смена инструментария может затруднять обнаружение активности злоумышленников системами безопасности. Во-вторых, установка дополнительных инструментов удаленного доступа создает избыточность, обеспечивая сохранение доступа даже при обнаружении и удалении одного из компонентов. Также существует версия о использовании пробных версий программного обеспечения, требующих регулярной замены по истечении срока действия лицензий.

Конечные цели данной кампании пока остаются неопределенными. Однако характер используемых инструментов и приоритет на сохранение доступа и кражу учетных данных позволяют предположить, что злоумышленники могут продавать доступ к скомпрометированным системам другим криминальным группам. Последующие атаки могут включать развертывание программ-шифровальщиков (ransomware), организацию мошеннических схем или промышленный шпионаж.

Эксперты рекомендуют организациям усилить меры безопасности, уделив особое внимание обучению сотрудников распознаванию фишинговых писем, внедрению строгих правил использования RMM-инструментов и регулярному мониторингу необычной сетевой активности. Важно отметить, что легитимное программное обеспечение для удаленного управления все чаще используется злоумышленниками в первоначальном проникновении и последующем перемещении по корпоративным сетям.

URLs

• http://brukfield.com/eStatement-2025.msi
• http://luizmatoso.com.br/scr/omgo/Approval3546.msi?redirect_mongo_id=6901fc3a62194ca8120dce2a&utm_source=Springbot&utm_medium=Email&utm_campaign=6901fc3a62194ca8120dce2b
• http://soraxpertai.com
• http://transformedhost.com/Invoicepayment438990490903.exe
• http://www.otoaydinlatma.com.tr/RE2837464.msi
• https://adobe.apsalgida.com/files/Acrobat_Reader_V112.msi
• https://artichaud.brussels/docusign/Docusign_em_ECOBenchtops_installer.msi
• https://cold-na-phx-8.gofile.io/download/direct/427b2109-99bc-46ca-9932-8e3b490a183f/Invitation_e-Card.exe
• https://cwwgg-p5wdxtar.com
• https://drevos.ro/Re45766712.msi
• https://file-eu-par-1.gofile.io/download/direct/7bd9b6b2-ebc8-4b67-a59c-168ead5f6843/REVISED%20CONTRACT%20PROPOSAL.exe
• https://file-na-phx-1.gofile.io/download/direct/f4842622-b8e3-477f-b3f9-2e8092717eb3/AdobeReader.msi
• https://gitlab.com/rockefellerroberth-stack/ui/-/raw/main/Dec_holidayparty.msi
• https://incandescent-lollipop-8c20fc.netlify.app/files/Adobe_Reader_v12.9332521.msi
• https://invitation-umber-one.vercel.app/success.html
• https://invoicepyament.vercel.app/success.html
• https://luizmatoso.com.br/scr/omgo/Approval3546.msi?redirect_mongo_id=6901fc3a62194ca8120dce2a&utm_source=Springbot&utm_medium=Email&utm_campaign=6901fc3a62194ca8120dce2b/
• https://neuro-critical.com/s/OCTOMBER_SSA_statement.msi
• https://otoaydinlatma.com.tr/RE2837464.msi
• https://pcway.pt/bid/232invite_s_8DDFF00C56FF12-3-0_c_w.exe
• https://pishbinifoori.com/
• https://pub-0aa96c02ed4e4bc7a8792316381b1395.r2.dev/RSVP_INVITATION.msi
• https://pub-13fba6d38a5246708298bffda853443a.r2.dev/PARTY%20INVITE.msi
• https://pub-3986d29b7d784cb39f5a7cd218c1026d.r2.dev/RSVP_INVITATION_LIST.msi
• https://pub-6e736ff8b53e4bcfaffd02026051f756.r2.dev/PARTY%20INVITATION.msi
• https://pub-75c6d59805624600bf89428e2354f7f3.r2.dev/BE%20MY%20GUEST.msi
• https://pub-770ba80aa96043f098cb98f6ce8b415f.r2.dev/SPECIAL%20INVITE.msi
• https://pub-a0ee9b55473a4bfcb6868499b2c995b9.r2.dev/special%20invitation.013.msi
• https://pub-cf31a0787efb46aa9b06228ed4f30934.r2.dev/SelectiveInvite.exe
• https://pub-d0a63a1c278246a7bd42edfc4ade9a1a.r2.dev/SPECIAL%20INVITATION%20(2).msi
• https://pub-d301f43b7bd442dfa91f65b23c225b3a.r2.dev/INVITATION_RSVP.msi
• https://pub-d78b53501c9a4b139654ec6601595157.r2.dev/Adobe_standalone_0.7.556.2.98.exe
• https://pub-e079401ff51b491a872572ce873707c8.r2.dev/Download2025statement.msi
• https://pub-e63a077448d34769b25e250ef5a7c938.r2.dev/RSVP_ANNIVERSARY_2025.msi
• https://sas-govservice.com/
• https://sdh.ro/Receiptv26394348.msi
• https://sexydollies.com
• https://store3.gofile.io/download/direct/7cc1dc51-f000-42f1-abbd-7729f2e892ec/AdobeAcrobatReader..msi
• https://store3.gofile.io/download/direct/f4842622-b8e3-477f-b3f9-2e8092717eb3/AdobeReader.msi
• https://store8.gofile.io/download/direct/32b65ce1-b844-41e9-a837-dbad055728c5/MsTeamSetup.exe
• https://store8.gofile.io/download/direct/fa290c5d-e61e-4e64-8c0e-2347945edef0/MSTeamssetup.exe
• https://store-na-phx-1.gofile.io/download/direct/7bd9b6b2-ebc8-4b67-a59c-168ead5f6843/REVISED%20CONTRACT%20PROPOSAL.exe
• https://store-na-phx-2.gofile.io/download/direct/427b2109-99bc-46ca-9932-8e3b490a183f/Invitation_e-Card.exe
• https://transformedhost.com/Invoicepayment438990490903.exe
• https://uc00bab72c0d98ed6eeb52758dd3.dl.dropboxusercontent.com/cd/0/get/C0qFKHs00OpCJIcUzpw8cI0WOTJwR4i_KH2PFc5VoBYvnOzt7LTtDXkMDfwhoM5EigVMIhTVBlPwwUlWwLQ5gu6goJRAXrK2JQYqABB9Q4FtUCV4SCJyBP8T7kDbpSWkFF1uv9AOL5Z29dTi2Trnhtr7/file?dl=1
• https://ucb77371609cd949f38c83696b38.dl.dropboxusercontent.com/cd/0/get/C0o8UgdTzwr6QyiQw1oommfZ5S1XGF7ms2_Qj-qzRF10RIePfz_iQR6FamH-MF6PvqSAsFkoHzXJyaosIcoTzDUZ7MctvQHx0Csi1v1zOQmJ5SYBWLt1BCU6BsAlOL1AB5Cx31vihn5Sn7R8EF_Qxd-B/file?dl=1
• https://vizyonuniversitesi.web.tr/Ref62535.msi
• https://www.dropbox.com/scl/fi/3jk5gxicsilax5vtlnqau/Or-amento-at-o-dia-20-do-10...exe?rlkey=jzapaziu3tlpmzrqc6qiorwqa&st=8jcbwop2&dl=1
• https://www.dropbox.com/scl/fi/usyi4e5wgs9vf0y656j88/Resolve-Comprovativo-392-35-.pdf.exe?rlkey=i037oc7pfn9fy2qitpr6m1xad&st=1s6ywwvm&dl=1
• https://www.jfentradas.pt/maps/Inv34566.msi?redirect_mongo_id=690b675662194c435a0dce55&utm_source=Springbot&utm_medium=Email&utm_campaign=690b675662194c435a0dce56
• https://www.jfentradas.pt/maps/Receipt63MD2.msi

SHA256

• 0172d6646a87d42740b896d401f3c7d42ee88ee840e4413ee9b932fa72a9cbe3
• 0c2f38574675c37a10c9c6a57f7fff72e473c04541694d17113bc09d823486ff
• 0f3f0161d3ff01bfd91f5036739491a2d8ab4f77a0a79b91a6894e5b09f1cfae
• 111a3dc067f3e47ee9b8188219e410a1f83a54133813ca01592563e575c82dfa
• 18399555137b889a51eb543ddf01b3b7471a6e20453ee24801f8895528e7632f
• 1a0389d3631981a365bfa88ca38d5652cdf809d9155b6898c9734c2191f58bd1
• 1a534d04bf30894d20764e91f7e94e0a73f060f0abacc9feeedba427995c83a8
• 1cc0e73600b6b620c767d490419052bced2597e153321f7c8f8f5b026d7faaa3
• 209d89d9c9b50f2b3d3c80dde98682c51a87afb505713a4a5792e3f499f6c385
• 2533ca461c55c6f2b34d6ec3e46a2378c2b1877616d19c677589e10b76b46869
• 257f7f52e875e7525299e8d04d7f30f1a08cec3dbe5ebb4a01098ce427a4aefc
• 2c2f8a174c26f3c5c1974864d064eef1775f33c7c99963807925476cc6a06e50
• 302ebfb06504b2510880bf1019bd9984708a2c019eea3b0b3134d45f874d7178
• 32c3b6236990001bfc1c8da1a97f164681134fb59dc28ff21d3744fb85571c81
• 347606a44f63c87f1331d313d65971f8ec97127762b393f420d2965a470f45b3
• 36541fad68e79cdedb965b1afcdc45385646611aa72903ddbe9d4d064d7bffb9
• 3a4ef4b6f98b5b7644fad70fe3596b4f259b3ba4165c56ee178471d57e5ff565
• 44246110b60cd7231d3a8bac35e697fe0cf55317923980e7424dc1dd0dbea808
• 48470b2eff64cfcb11684152ae6101c930317e0912a10ce052e3b53d0fa48efe
• 499d07894f730fb685ee3cbfc1a933e0da93750c1ed25a49b2eb9c32adef156a
• 4abe29bbcb4458ef5abdecdfcaaf3837d0a15321a49bc97c20310f92f76b84a2
• 4b6a8b86d9245cf775b4e80a6ac134efc8dfe0d673951671547d5894fb9be677
• 4ca1746d65c9864ec9e55620a41baf55997d40c7cc0b6474be4c222100744063
• 57e40e729aa8e7d35398c4ea8d835996bb0d944b921317771cced3350e02dd47
• 638eb89f417e5416fedb8a0e62c6ba79f8a0b0d7ea8a427df9e367c7de61bc25
• 68e67f6b94c340ecd15e21eb2eca39e39c45f9b762b4bfaef7a4a1ad42ab7672
• 6cc665057c4a4fe42a309afd3a7fa96cf1af126e9c6e08e56df5105e05378bcc
• 70e2806fe1b337048af22567fa4783fb7fddcae981a57c75b30cc9c6b9303ae5
• 729f6c1661dfb40a4d71a1e1131dc1b3c707473bab92a249822235f58e56abfd
• 745cc1b7f07d3544ab97678081e95f6c726783ed7f3cecdc00587a41966b5cb4
• 7b85a976ab6e787d28960989a124f7e74ed593782a2ccf7a9ce0713133683636
• 8c725c1f37a37d536673042abe7a06ed87407adb3399d0b570f6690d341ff0ed
• 951d9bd7842cbd6c31f57e271bccc624f0d8285a713b87ab928145930162f625
• 98a988a199a0eecc518fc8a42641dfd7e733c378135041bbccada48b2d2b45ae
• 98ea70b86512e58b6ecb79d7ad55e808215977d13b5626d9661f962f36861109
• 9b40976d3b04f8631bc7f981cd7a80c0dadc5d2ffe5c3655a3c56bc6281625ba
• 9c626bff599de35fed597f85bd010a7d5dc7e9d1fc2936c76023e78c38f4da3b
• 9c6621b2ac227cc08878fa058d803f9fb067462f667400fd1854dc017405c933
• a3c219bb005b9e66a254560d39e4f23f2cb4ad83d4290ebd31dbfd2d7e34e631
• a7d9054cdfb653aa336a513fadb27905696b06fc68de1cf0749b301d31fba87e
• a93c946c237b981189d2668d938a9d4d1d9681757e48dae8d9d65ed25b5da657
• ac3fb3616cf4617d2c1dcfedc6f2950d01f5d4e3b9b351f7cf16758bb1e63e66
• b06c79e17994872ec5693269bd78ea740e1604ff8a8f588f0fc88d2b3be3338a
• b32bc15db7a2f0340a5459b92eab1fe515eb07da97d81a91fd743e5591a333cb
• b7ac8c7c78b07575121d3f601423f85cc2a0f3b4ffff3df596a615d55a18298a
• b9fcae4569904debd22d62773a1129350cf208d6c5f10289acc58ec9d6b95ba9
• bbc7f54e9e66a66b72f9e184c5b317c250e8c23f0aa28aca9e3a61ebb89c9c72
• bfa9c3298a749c8949f890ef02b4d07589bea1635150d57215b2f37b6f3acef0
• c743ac8eeb089864bb8638c46adc1e0eee48ea917e2eb8c8192b2783f9db82d4
• cc9ba2d8b999bec5da6b4b99bf8e64b8475fa3ad7192ada1b682e11dcd2af50d
• d99c5cb3d217747a9a5ca87895a629819028880a92555f13628a3531498ca8bf
• dfd99e2d876b486e1c49bd1b751b504e8a3dabdefdad9085fff915c0eeb133a7
• e11d7e4cb3a05de7f9a7ad6a3277fb1133008f322be857a87abe02ec041de963
• e1b4a079e65719be651cfc249913ac07ac3e0ae58715e7435eed5a5ef1df6626
• e2b2455927f33f7029aa6583ddf397fb2236e0ee7b2088bf5720d28b6b1c4467
• f52138d6a2878521f65c976086bd0376d231f073bfd4a28ab03a7e1ca88a487b
• f625bb9827cfd17dccf5aebec2ffc13d32ae72fdd27c9c30f44090606c83343e
• f922eab1cce0bfb9aded5a862790faeaefadd731e209b5b5f0358abb21db8fae