Атака на корпоративную почту руководителя крупной мировой биржи продолжалась почти полгода. Злоумышленники выкачивали письма и календарь через легитимные облачные сервисы - Dropbox и OneDrive Personal. Доступ к ящику дал им полную картину внутренних переговоров, графика поездок, списка контактов и, что критично, непубличной информации о листингах, проверках и событиях, способных повлиять на рынок. Такой архив - настоящая находка для разведки. Обычно подобные инциденты остаются закрытыми, но в этом случае высокая дисциплина и сосредоточенность злоумышленников заслуживают отдельного разбора.
Описание
Первые следы вредоносной активности на рабочей станции топ‑менеджера были зафиксированы 10 октября 2025 года. К этому моменту злоумышленники уже установили две подставные программы, работающие с правами системы. Одна из них, armsvc.exe, размещалась в директории, имитирующей путь легитимного обновления Adobe Acrobat Reader. Вторая, oneservice.exe, пряталась в каталоге, который обычно не используется установочным помощником OneDrive. Оба файла запускались через диспетчер управления службами, что говорит о том, как злоумышленники заранее получили повышенные привилегии. Как именно произошло начальное заражение, осталось неизвестным.
Для закрепления в системе использовалась плановая задача, замаскированная под фирменное обновление Adobe. Она запускала вредоносный файл каждые пять минут с максимальными правами. Второй этап атаки начался 12 ноября 2025 года. Именно тогда злоумышленники впервые выполнили OAuth-рукопожатие для получения токена доступа к API Dropbox (OAuth - протокол авторизации, позволяющий предоставлять третьим сторонам ограниченный доступ к ресурсам без передачи пароля). Все последующие операции загрузки и выгрузки через Dropbox использовали один и тот же идентификатор приложения и секретный ключ. Менялся только код авторизации каждой сессии. Трафик выглядел как обычная работа легального облачного клиента.
Через несколько дней атака перешла к регулярному выполнению плановых задач. Аналитики обнаружили характерное имя задания, маскировавшееся под проверку работоспособности системы Lenovo. Триггером служил один из пакетных файлов в папке временных файлов Windows. Задание запускалось каждые пять часов (позже интервал менялся на 15 и 24 часа) и перенаправляло вывод в текстовый файл. Такая конструкция идеально подходила для долговременного сбора данных: результаты накапливались, а затем похищались.
Главным инструментом кампании стал похититель почтовых ящиков на основе библиотеки Aspose. Это легитимная коммерческая .NET-библиотека для разбора файлов Outlook - OST (автономная копия почтового ящика) и PST (персональный файл данных). Злоумышленники превратили её в самостоятельный исполняемый файл, который конвертирует OST в PST и сохраняет результат в указанную папку. На атакованном компьютере похититель несколько раз переименовывался, используя безобидные расширения временных файлов. Он помещался в подкаталоги Windows\temp, а затем запускался с паролем для разблокировки OST и временным окном для отбора писем.
Первая команда 12 ноября собрала всю почту с августа 2025 года. Следующие запуски сужали окно до нескольких последних дней: 12-21 ноября, 20 ноября - 9 декабря, 9-16 декабря и так далее. Всего зафиксировано восемь циклов извлечения с промежутками от двух до четырёх недель. Последний состоялся 17 февраля 2026 года. В результате за пять месяцев злоумышленники получили почти непрерывную ленту всех электронных писем топ‑менеджера, разбитую на небольшие архивы, чтобы не привлекать внимание средств защиты.
Для выгрузки данных использовались два канала. Основным оставался Dropbox, куда загружались конвертированные PST-файлы. С 21 ноября 2025 года добавился второй канал - OneDrive Personal. Первые запросы шли к доменному имени onedrive.live.com, но уже через несколько минут злоумышленники перешли на прямой IP-адрес из инфраструктуры Microsoft - 150.171.41[.]11. Таким образом они избегали DNS-запросов, которые могли быть зафиксированы периметральным журналом. Аналогичный манёвр был выполнен и с адресом 13.107.137[.]11. Никакой разницы с обычным трафиком OneDrive не было. Короткое время злоумышленники также пробовали temp.sh - публичный сервис для временного хранения файлов, но после трёх попыток 20-21 ноября отказались от него.
На протяжении всей кампании злоумышленники неоднократно пересоздавали механизмы закрепления. Задание CheckServerHealth перезаписывалось каждые несколько недель с новым интервалом и новым пакетным файлом. 27 февраля 2026 года появилась дополнительная задача onedrivesync.exe, которая запускалась каждые три минуты, маскируясь под синхронизацию OneDrive. 19 марта аналитики заметили новый компонент - armdriver.exe, а также ранее не встречавшуюся DLL te.host.dll. Она была помещена в папку с именем Intel, что могло указывать на попытку подгрузки через легитимный тестовый движок Microsoft. Однако запуска родительского процесса te.exe не обнаружено. На этом активность на атакованной машине прекратилась.
Последствия такой атаки трудно переоценить. Доступ к почте руководителя биржи на протяжении пяти месяцев означает, что злоумышленники могли знать о предстоящих сделках, санкциях, изменениях в листинге и других рыночных событиях раньше других участников. Это прямой путь к инсайдерской торговле или шантажу. При этом вся операция велась с минимальным шумом: использовались только легитимные облачные сервисы, общедоступные инструменты и чужие легитимные библиотеки. Отсутствие уникальных вредоносных программ не позволяет приписать атаку какой-либо известной группировке, но набор команд однозначно указывает на разведывательные цели.
Этот случай - наглядная иллюстрация того, как целенаправленная атака на одного высокопоставленного сотрудника может быть не замечена месяцами. Злоумышленники не пытались перемещаться по сети, не устанавливали дополнительное вредоносное ПО. Всё, что им было нужно, уже находилось в одном почтовом ящике. Их главное оружие - терпение и маскировка под обычный рабочий процесс.
Индикаторы компрометации
IPv4
13.107.137.11
150.171.41.11
IPv4 Port Combinations
51.91.79.17:443
URLs
- https://13.107.137.11/personal/b546062c8e96f77a/_api/web/GetFolderByServerRelativePath
- https://150.171.41.11/personal/b546062c8e96f77a/_api/web/GetFolderByServerRelativePath
- https://onedrive.live.com/personal/b546062c8e96f77a/_api/web/GetFolderByServerRelativePath
SHA256
- 02048121fd0b3a51751ce7677155aa8818eba9d8ce67ea26fd1d7f43cfcdabd2
- 1f385acf11f8ea6673d7295be6492ea9913b525da25dcc037ea49ef4f86a9d58
- 22f335a65c479c26019f6187dae290624117c82a702a96acbb04fa325f730d3e
- 2587217bc685527480c803ddf34a56ae9d9bf02681828a8a2081acc775312cf3
- 308351124c496d4f4effee65ab828506abf70385773c167ab1f32a7f030385ac
- 3aae5a24e63f3cb1ca4759b9e4ee8e503ff139189423f5fd8cc923c6819697ca
- 3b6cb20891bce8602ce669187754871e402a1782031ef8b032cd007e3894bc5d
- 611db3195d55e871dce67ce5c41e894bbaab88dd0d019af68f5a259f0108aef7
- 6a69ea2ce3fea0ebfd7a32a1dfc4251bd4d7d8a4fbd44aaa47b82290d0414a9f
- 6c700ca4e6d917c7aa9d964e98604a0349d9b8b4673df96a3f73a3d2d042635a
- 8b283c954d19a839a724961ccaf025c56988c4e745acb2d31a15a006cda072bf
- 8c0871cd0f60bc603424e948a689945a1828d0bef926a6470ae18cf17d93f7cb
- acf5ed6e5bb90c44683938f35efeca551428064cdedbbaab8be69e3474fb806f
- c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37
- cf731b82c471211938b210ae8a6dcc7ece4f44371e716f056fa05151a9910727
- d5e42104292513232d26ad7d9d317b5c779577da43e28fe27f8c2fb9318b0e8e
- d78f64551d1b31a31e5998e442f0debd458e011e05019b3951d9ddde997f8384
- db59813e3f27fb8608a4876e758f60b69d9700dc22d15237ac095bb3166fb622
- eaff006ac0eb7f7fe4db5fc6a4b5b1dc272d83ced66d510dcea185b1278bb453
- f72a8b71f12eaab6518873f72ea4be4572d9f3fb8e8706ade3b9a7314f236f22