Злоупотребление доверием и легальными инструментами: фишинговая кампания использует RMM-софт для скрытого доступа к корпоративным сетям

Кампания, отслеживаемая Sophos под идентификатором STAC6405, была впервые замечена в апреле 2025 года, однако её пик пришёлся на октябрь-ноябрь того же года. По данным исследователей, под удар попали более 80 организаций из различных секторов экономики. Основным вектором атаки стали фишинговые письма, маскирующиеся под приглашения на мероприятия от сервиса Punchbowl или предложения участвовать в тендерах. Письма часто приходили со взломанных почтовых ящиков доверенных отправителей, что значительно повышало доверие жертв.

Вместо традиционных вложений или ссылок на вредоносные сайты, письма содержали ссылки для скачивания исполняемых файлов. Эти файлы, имевшие названия вроде "Invitation.exe" или "SPCL_INVITE_RSVP_2025.exe", на самом деле являлись легитимными установщиками инструмента для удалённого мониторинга и управления (RMM) - LogMeIn Resolve (ранее GoToResolve) или ScreenConnect. Ключевая деталь заключалась в том, что эти установщики были предварительно сконфигурированы злоумышленниками для подключения заражённого устройства к контролируемым ими учётным записям и релейным серверам. Таким образом, после запуска файла жертвой, атакующий получал необслуживаемый удалённый доступ к системе, оставаясь практически невидимым для традиционных средств защиты, так как использовался доверенный, подписанный код.

Исследователи Sophos в новом отчёте подробно описывают, как злоумышленники создавали целые фишинговые инфраструктуры с тематическими сайтами для распространения, маскируя их под страницы загрузки Microsoft Teams или Norton. В большинстве случаев атака ограничивалась получением первоначального доступа. Вероятно, злоумышленники либо действовали как брокеры доступа, продавая его другим киберпреступникам на теневых форумах, либо выжидали, оставаясь в спящем режиме для последующей эскалации.

Однако в двух инцидентах аналитики Sophos наблюдали быстрое развитие атаки. В первом случае, менее чем через час после установки LogMeIn Resolve, злоумышленник использовал уже присутствовавшую в системе легальную копию ScreenConnect для загрузки дополнительной полезной нагрузки. Ею оказался инфостилер (программа-похититель данных), упакованный с помощью сервиса HeartCrypt. Интересно, что в комплекте также поставлялась утилита HideMouse.exe, делающая курсор невидимым - вероятно, чтобы скрыть от пользователя активность злоумышленника при удалённом управлении компьютером. Сама вредоносная программа использовала сложные техники уклонения от анализа, включая длительные паузы перед выполнением и инъекцию кода в легитимный процесс csc.exe (компилятор C#), что является примером техники Living-off-the-Land (использование встроенных средств системы). Стилер был нацелен на извлечение учётных данных из браузеров, данных криптокошельков и проведение разведки системы.

Во втором инциденте атакующие сразу использовали предварительно сконфигурированный ScreenConnect, который после установки запускал Java-софт для удалённого доступа, маскируя свою активность с помощью легитимного инсталлятора JWrapper. Эта многоступенчатая цепочка демонстрирует высокий уровень адаптивности и подготовленности угрозы.

Данная кампания наглядно иллюстрирует современные тренды в целевых атаках. Во-первых, это ставка на компрометацию доверительных отношений через взломанные аккаунты. Во-вторых, активное использование легальных инструментов (RMM, утилиты для скрытия курсора, инсталляторы) на начальных этапах для минимизации шансов на обнаружение. В-третьих, модульность и гибкость: в зависимости от обстоятельств злоумышленники либо просто закрепляются в системе, либо быстро разворачивают полноценные похитители данных. Для защиты от подобных угроз организациям необходимо ужесточить политики установки программного обеспечения, особенно в категории RMM-инструментов, внедрять строгие процедуры проверки входящей корреспонденции даже от доверенных контактов и применять расширенные решения для мониторинга сетевой активности, способные выявлять аномальное использование легитимных системных процессов и подозрительные исходящие подключения с рабочих станций.

IPv4

• 107.175.70.173
• 38.240.48.123

Domains

• 489483896l.top
• ii11.my
• instance-p05iyd-relay.screenconnect.com
• krimafruthszone.site
• relay.aceheritagehouse.top
• relay.adminshop.live
• relay.dajanzskreen.top
• relay.edunscaskreen.top
• relay.melechskreen.top
• relay.saggeygareskreen.top
• support.ogbonsmushhh.top
• tech.blinksings.top

URLs

• http://evitesecured.top/invitation/Inv.html
• http://ezfrags.online/inv.html
• http://mug.ru.com/SHARE/INVITE.exe
• https://2u.pw/bchgf3
• https://allcheers.top/grand/.
• https://arkmiura.com/bid/
• https://arkmiura.com/download_invitee.php
• https://b0198-c376220d91-d2db5e89-e07bc152.zynverro.com/393i4yX/
• https://buy.vgtoken.com/docu
• https://cold-na-phx-8.gofile.io
• https://danielaviana.net.br/wwwe/statmts_PDF10.25.exe
• https://elev8souvenirs.com/docu/
• https://elzonte-lety.com
• https://elzonte-lety.com//download_invitee.php
• https://evitereview.de/inv
• https://filedoc0027.pages.dev
• https://givingthanktogod.de/invite/invite.exe
• https://how.ru.com/party/inv.html
• https://in2sites-stack.info/e-sign/docureaderxxstatements.exe
• https://inv-docusign-25.deno.dev/
• https://inviteproposal.online/fkg/project
• https://mjr.ru.com/invite/Inv.html
• https://nfs-connect.com/docu/
• https://pauloalmeidadesign.com.br/www/statmts_PDF-10.25.exe
• https://pfsgh.com/microsoft_teams/meeting/teamsfinal/meeting/teamsfinal/teams/Windows/invite.php
• https://pishbinifoori.com/bid/
• https://positivealpha.in/invite/
• https://priavatemessagiesevnts.de/sharepoints/edit
• https://pub-0e9274b4f4a74997bcafd5c5c778bf91.r2.dev
• https://pub-4eaadc21db3f42cb920b03671821761a.r2.dev/GoldenEntryInvite.exe
• https://pub-ca443ab5121c407f87ae84d542565725.r2.dev/invt-list2025.exe
• https://rosaryinfotech.com/mmp/index.html
• https://rsu.za.com/iownic/main.html
• https://secure-doc.mastorpasstop.top/12/inv.html
• https://server4wolve.in/invite/windows_download.php
• https://stargetawayyov.it.com/log/ff.html
• https://store9.gofile.io/download/direct/2e1b06cd-473c-46fb-873c-69b3b96e244f/
• https://sweetcherrystore.com/bid/
• https://t.ly/HZmqV
• https://wd503.myworkday.com/opendoorhealth/login-saml2.htmld
• https://wtisolucoes.com.br/dbsprojects/complete.php
• https://www.dropbox.com/scl/fi/3jk5gxicsilax5vtlnqau/Or-amento-at-o-dia-20-do-10...exe?rlkey=jzapaziu3tlpmzrqc6qiorwqa&st=8jcbwop2&dl=1
• https://www.i.pendritechit.org/
• https://www.sophos.com/en-gb/blog/incident-responders-s-il-vous-plait

Emails

• 3t4l2abckbnwiwn0j-xmfwjx-ir-stwjuq3lttlqj.htrfsljqfyxfsix.htr@doclist.bounces.google.com

SHA1

• e9476b2af07a3109586e1b55264ed62b0d636e4b

SHA256

• 466e0fb03c943b6834458cd308d4f856522651917c00ed23345cf19780d3710d
• 4b0b6565a3e91f0778b1e802c0d9295dee993a87e976f357e69a840a32827860
• 4c3ba24dbb7fda78a9b94741c518985f9fcd670ab1a2d8d3498a739aad98b4a1
• 7896efb0666cf89df63fb1fdc35567d483312895388f2cd1661d2541c396ddc6
• 833b0f9872703226d3917a1792c00ec3ebdd5ffae69d6fabfe9a9d7e725a3b45
• 92ef186211dc625e1b084cf6109f7a79106f5745228eca939405d70454a85d81
• 95d041b2ad3c04b061d2c7c44e04a500ffe023466082777731aeaf1f9d8211f7
• bd8257d99483690b760632d4bde19c931992b0f193c10ecc3a37b8344aa471f2
• c93accb4235a7686740b53120779faa64bdea560c5f65b359a590dfca4b5495e
• d2b2a0be11f68e3bc21535388f660b289d767712837eab1a27b2deae5ba43dca
• f5bb55399342d626d7cce64db7523635a2276ebad3dcaf5fa0470f361266bd16
• fd0b80b48662543e6346a8455b51e0b56a0a10aac01bcd085bca2a9b47c62006