Хакери пет месеци ја шпионирале Outlook-поштата на директор на берза

Непознати напаѓачи поминале најмалку пет месеци во Outlook-поштенското сандаче на висок извршен директор на голема глобална берза, копирајќи ја содржината на сандачето во мали, повторувачки серии и пренасочувајќи ги податоците преку Dropbox и OneDrive за сообраќајот да изгледа како вообичаена активност во облак.

Тимот за откривање закани на Symantec и Carbon Black ја објави оваа кампања оваа недела. Според нив, станува збор за шпионажа, а не за финансиски мотивиран напад: Symantec изјави дека употребените команди укажуваат на собирање разузнавачки информации, а не на кражба за профит.

Ниту директорот ниту берзата не беа именувани. Вредноста на ваков пристап е очигледна: поштенското сандаче на извршен директор на берза може да содржи доверливи информации за котирања на компании, регулаторни постапки, услови на деловни договори, планови што можат да влијаат на пазарот, како и календарот и контактите на директорот.

Пет месеци тивок пристап му овозможиле на напаѓачот детален увид во активностите на директорот и во насоката во која се движела организацијата, без потреба од поширок пристап до други деловни системи.

Првата злонамерна активност била забележана на 10 октомври 2025 година. До тој момент напаѓачот веќе извршувал две бинарни датотеки со SYSTEM-привилегии — највисокото ниво на привилегии во Windows. Едната се претставувала како Adobe Updater, а другата како OneDrive. Кога безбедносните тимови го забележале нападот, натрапникот веќе имал целосна контрола врз компјутерот, а начинот на кој првично добил пристап сè уште е непознат.

Сепак, Symantec потврди дека првите знаци најверојатно укажуваат на странично движење (lateral movement) од претходно компромитиран уред. Операцијата започнала со полн интензитет на 12 ноември. Напаѓачот извлекол Dropbox API токен, почнал да испраќа податоци со помош на алатката curl и ја инсталирал главната алатка за кражба на пошта: програма базирана на Aspose, легитимна .NET библиотека што може да чита Outlook OST и PST датотеки.

Спакувана во извршна датотека, алатката го претворала поштенското сандаче во PST-формат и го зачувувала на дискот. Секое извршување било конфигурирано со лозинка и параметар за временски опсег.

При првото извршување биле преземени сите пораки почнувајќи од август 2025 година. Потоа напаѓачот се враќал на секои две до четири недели, при што секој пат ги преземал само новите податоци создадени од последното преземање. До 17 февруари 2026 година биле извршени уште осум вакви преземања.

Резултатот бил речиси непрекината копија од поштенското сандаче, поделена на доволно мали сегменти за да не го привлече вниманието на безбедносниот софтвер.

Прикривањето на нападот се засновало на тоа активностите да изгледаат сосема вообичаено. Закажаните задачи (scheduled tasks) биле маскирани како системски сервиси на Adobe, Lenovo и OneDrive. За изнесување на податоците (exfiltration), напаѓачот користел Dropbox и лични OneDrive сметки. Кај OneDrive, наместо да се поврзува преку доменот onedrive.live.com, се поврзувал директно со однапред зададени Microsoft IP-адреси, со што избегнувал DNS-барања кои безбедносните алатки на мрежниот периметар би можеле да ги откријат или блокираат.

Во ноември напаѓачот накратко го тестирал и јавниот сервис за споделување датотеки temp.sh, но подоцна престанал да го користи. Последната забележана активност била на 19 март 2026 година, кога бил поставен нов бекдор (backdoor), но никогаш не бил активиран. Според Елиас, ова може да значи дека напаѓачот набргу потоа го изгубил пристапот до системот.

Индикаторите за компромитација (IoCs) објавени од Symantec укажуваат дека станувало збор за поширок сет на алатки за упад, а не само за кражба на поштенско сандаче. Меѓу нив се:

• FRPC – за тунелирање и пренасочување на мрежен сообраќај надвор од организацијата.
• Secretsdump – за извлекување Windows акредитиви и лозинки.
• SharpDecryptPwd – за обновување на зачувани лозинки од апликации.
• Алатка за заобиколување на Windows User Account Control (UAC).

Во извештајот не е наведено точно како секоја од овие алатки била употребена во овој случај, а ниту една од нив не укажува на конкретна хакерска група.

Во оваа приказна не се споменува ниту една CVE-ранливост. Станува збор за компромитирање на поштенското сандаче на поединец, а не за искористување на новооткриен безбедносен пропуст. Токму затоа случајот е значаен: не постои безбедносна надградба (patch) што може да го спречи ваквиот напад, па фокусот се префрла на мониторинг, откривање и брза реакција.

Исто така, атрибуцијата останува нерешена. Комбинацијата од јавно достапни алатки и комерцијални cloud-сервиси оставила многу малку траги што би можеле да ја поврзат активноста со познат актер. Сè додека не се појават посилни докази, идентитетот на напаѓачот останува непознат.

Користењето на Dropbox и OneDrive за изнесување податоци со цел активноста да се стопи со легитимниот сообраќај е добро позната техника. И Microsoft претходно предупредувал дека ваквиот пристап намерно се користи за заобиколување на периметарската одбрана и за отежнување на процесот на атрибуција.

За организациите како берзи, регулатори или компании што располагаат со информации кои можат да влијаат на финансиските пазари, препораката е веднаш да се проверат објавените хаш-вредности и индикатори за компромитација, како и да се следат следните сомнителни активности:

• Необични извезувања (export) на поштенски сандачиња.
• Неочекуван или сомнителен пристап до Outlook.
• Прикачување податоци на лични Dropbox или OneDrive сметки.
• Неовластено тунелирање на мрежен сообраќај.
• Обиди за извлекување лозинки и акредитиви од системи што ги користат привилегирани корисници.

Овој случај покажува дека напредните шпионски операции често не зависат од нови ранливости, туку од долготраен, тивок пристап и внимателно прикривање на активностите во рамките на легитимниот сообраќај и услуги.

Извори:

• The Hacker News – Hackers Spied on a Stock Exchange Executive’s Outlook Mailbox for Five Months The Hacker News