Массовые почтовые кампании с вредоносными вложениями остаются простым, но крайне результативным инструментом злоумышленников, стремящихся скомпрометировать деловую переписку и получить доступ к финансовым потокам. Очередное подтверждение этой тенденции в марте 2026 года обнаружили эксперты по кибербезопасности, зафиксировав серию атак, нацеленных на широкий круг жертв - от нефтеперерабатывающих предприятий до министерств финансов непризнанных государств. Основным инструментом в этих атаках выступал вредоносный скрипт на языке JavaScript (JS-бэкдор), а вся инфраструктура рассылки и управления базировалась на ресурсах двух активно действующих пуленепробиваемых сетей.
Описание
В течение марта злоумышленники отправили несколько волн фишинговых писем с вложениями в виде ZIP- или RAR-архивов. Внутри находился сильно обфусцированный файл с расширением .js. Письма рассылались с доменов mail.talruit[.]com и mpwirerope[.]com, которые размещались на IP-адресах, принадлежащих автономным системам GHOSTYNETWORKS (AS205759) и OMEGATECH (AS202412). Среди получателей оказались сотрудники крупного украинского дистрибьюторского холдинга, российского нефтеперерабатывающего завода "Орскнефтеоргсинтез", а также министерства финансов Приднестровской Молдавской Республики и различные компании в Польше и Германии. Такой разброс целей и относительно низкая сложность самих писем с высокой вероятностью указывают на финансовую мотивацию атакующего: по оценке исследователей, основной задачей была компрометация учётных записей электронной почты для последующего проведения атак типа BEC (компрометация деловой переписки) или прямого перехвата доступа к ящикам (EAC - Email Account Compromise).
Специалисты французской компании Intrinsec в своём отчёте подробно описали механику работы JS-бэкдора и проследили его связь с пуленепробиваемыми сетями, которые игнорируют жалобы на злоупотребление и сознательно предоставляют инфраструктуру под противоправную деятельность. Сразу после запуска скрипт отправлял POST-запрос на командный центр (C2-сервер) по одному из нестандартных портов - 2002, 2004, 3232, 6565, 34567, 2244 или 7273. В запросе передавался уникальный идентификатор заражённой машины, а в качестве подставного User-Agent использовалась строка, маскирующаяся под устаревший браузер Internet Explorer. В некоторых вариантах полезной нагрузки бэкдор обращался напрямую к IP-адресу, минуя доменное имя. Такой подход типичен для JavaScript-загрузчиков, которые часто применяют операторы программ-вымогателей и брокеры первоначального доступа. Достаточно вспомнить GootLoader, распространяемый через SEO-отравление, или SocGholish, имитирующий обновления браузера. Во всех этих случаях JS-код исполняется штатным интерпретатором операционной системы, что позволяет обходить антивирусные средства, ориентированные на бинарные файлы.
Инфраструктура, задействованная в мартовских атаках, как выяснили исследователи, представляет собой два независимых, но типологически идентичных пуленепробиваемых провайдера. Первый, GHOSTYNETWORKS, зарегистрирован в штате Кентукки и маршрутизируется через компанию SMARTNET LIMITED. Практически все IP-префиксы этой сети уже внесены в чёрные списки Spamhaus, а сама организация, по мнению аналитиков, является очередным переименованием печально известного хостинга AnonRDP, ранее работавшего под брендом OPTIBOUNCE. С ним связан один и тот же организатор - гражданин по имени Daniel Mishayev, фигурирующий в регистрационных документах целого ряда автономных систем, замеченных в поддержке киберпреступной активности. Любопытно, что сеть GHOSTYNETWORKS использовалась не только для спама, но и для размещения командных центров более изощрённых вредоносных кампаний, включая атаку на цепочку поставок пакета LiteLLM в репозитории PyPI, организованную группой TeamPCP.
Второй провайдер, OMEGATECH, базируется на Сейшельских островах и, согласно данным Spamhaus, служит очередным юридическим фасадом для российской пуленепробиваемой площадки Virtualine, рекламируемой на подпольных форумах. На единственной подсети этой автономной системы в апреле 2026 года насчитывалось сразу 67 активных C2-серверов, обслуживающих 16 семейств вредоносного ПО. Анализ телеметрии, собранной исследователями с собственных ловушек, показал, что только за март IP-адреса OMEGATECH сгенерировали свыше 640 тысяч событий сканирования и брутфорс-атак, а пики активности приходились на порты удалённого рабочего стола, баз данных и веб-серверов.
Дальнейшие поиски позволили проследить эволюцию инфраструктуры злоумышленника. Выяснилось, что тот же домен aryamint[.]com, выполнявший роль C2 в мартовских кампаниях, ещё в июне 2025 года размещался в другой пуленепробиваемой сети - TELCHACK (AS207184), которая позднее была заблокирована и прекратила анонсирование префиксов. Тогда атакующий использовал IP-адрес и для рассылки спама, и для управления трояном Remcos. Такая живучесть и последовательная миграция между разными "пуленепробиваемыми" автономными системами подчёркивает ключевую роль подобных провайдеров в современной киберпреступности: они предоставляют стабильный хостинг, устойчивый к традиционным процедурам блокировки.
Практические последствия описанных атак могут оказаться весьма серьёзными. Даже простой бэкдор, способный собирать системную информацию и обеспечивать скрытый канал связи, открывает злоумышленнику путь к полной компрометации почтового ящика. Получив доступ к легитимному аккаунту, преступник может месяцами читать переписку, выжидая момент для подмены платёжных реквизитов или отправки мошеннических инструкций от имени руководителя. Именно так в апреле 2026 года была похищена сумма, эквивалентная почти миллиону долларов, у британской нефтегазовой компании Zephyr Energy, а также произошла крупнейшая кража из государственного учреждения Шри-Ланки после взлома почтовых серверов министерства финансов. Нацеленность мартовской кампании на финансовые министерства бедных стран и промышленные предприятия лишь усиливает параллели с этими инцидентами.
Для противодействия подобным угрозам специалистам по безопасности рекомендуется внедрять фильтрацию на уровне автономных систем, блокируя целые диапазоны IP, принадлежащие известным пуленепробиваемым провайдерам, таким как GHOSTYNETWORKS и OMEGATECH. На уровне почтовых шлюзов критически важно блокировать вложения с расширениями .js, .jse, .mjs, а также архивы, содержащие подобные файлы. Кроме того, следует ограничить выполнение скриптов Windows Script Host вне доверенных каталогов и проводить регулярные тренинги по распознаванию фишинговых писем, особенно тех, что маскируются под деловую переписку с вложениями. Несмотря на всю кажущуюся примитивность массовых спам-рассылок с JavaScript-вложениями, их результативность остаётся высокой, что требует от защитников постоянного внимания к самым базовым, но эффективным мерам.
Индикаторы компрометации
IPv4
- 158.94.211.76
- 3.142.209.64
- 91.92.243.79
Domains
- aryamint.com
- ethara.org
- mail.talruit.com
- mpwirerope.com
- scan.aryamint.com
- talruit.com
SHA256
- 232a179daf4db527c062b609ebb5f19310eea8f5c80afce6f763f5841110aed8
- 33713a3650a3c1d64045c3832835dcacef92ad4f09c030fbe674454266880fea
- 7277f4dfb26a53f8ee47cac051a82f6709e07b6603f26ff3987cc64a137e07dc
- 794fab796e48f97e976d99157913ab5beee5ae8ef2731bf2af2222ae5b6a1c65
- ac842e4adb445a76aad135828d56116858a1b7d37b4a103f493e175816df9bb2