Минимум пять месяцев злоумышленники держали под наблюдением почтовый ящик высокопоставленного финансового руководителя неназванной глобальной фондовой биржи. Для отрасли это не просто очередной взлом почты биржи: доступ к такой переписке означает окно в будущие сделки, контакты, встречи и решения, которые способны двигать рынок раньше официальных анонсов.
Об инциденте сообщает Dark Reading со ссылкой на исследование Symantec и Carbon Black Threat Hunter Team. По данным расследования, атакующие получили почти непрерывный доступ к Outlook-ящику senior executive в одной из крупнейших биржевых организаций мира и выкачивали письма месяцами. Название площадки не раскрывается, но сам профиль цели говорит за себя: это не массовая рассылка стилеров, а аккуратная шпионская операция против человека, чья переписка может стоить очень дорого.
Хронология у атаки показательная. Исследователи зафиксировали первые наблюдаемые следы 10 октября 2025 года, когда злоумышленник уже, судя по всему, переместился на машину жертвы с ранее скомпрометированного устройства. К тому моменту на хосте уже работали два импланта с системными привилегиями. Один маскировался под Adobe-софт, второй выглядел как компонент OneDrive. Для закрепления первый был зарегистрирован в планировщике Windows и запускался каждые пять минут. Иными словами, пока защитники только начинали понимать, что что-то не так, атакующий уже сидел на машине с правами администратора и неплохим запасом терпения.
Следующий этап завершился 12 ноября 2025 года. Тогда операторы настроили канал управления и вывода данных через Dropbox, чтобы трафик меньше выделялся на фоне легитимной активности. Параллельно они создали еще одну задачу в планировщике, замаскированную под обычную проверку состояния системы Lenovo. Этот штрих особенно неприятен: он показывает, что злоумышленник хорошо понимал, как выглядит конкретное рабочее место жертвы и какие названия не вызовут вопросов у администратора или SOC. После этого в атаку подключили кастомный инфостилер, построенный на легитимной .NET-библиотеке Aspose. Вместо экзотического вредоноса, который легче ловится сигнатурами, использовался вполне нормальный инструмент для работы с файлами: с его помощью письма конвертировали в локальные файлы, а потом уводили через Dropbox.
С точки зрения техники это почти учебник по злоупотреблению штатными средствами. Нативные механизмы Windows, планировщик задач, облачный сервис с хорошей репутацией, библиотека для обработки файлов, названия процессов и задач, похожие на обычный корпоративный софт. Никакой голливудской «супермалвари», зато максимум шансов затеряться в шуме. Для ИТ-команд здесь неприятный, но полезный вывод: защита, которая хорошо ловит только заведомо вредоносные бинарники, все хуже справляется с атаками, где злоумышленник берет легальные инструменты и просто использует их не по назначению.
По оценке исследователей, атакующий выгрузил всю почту жертвы за период с августа по середину ноября 2025 года, а затем повторял полное копирование ящика примерно раз в две-четыре недели как минимум до 17 февраля 2026-го. После последней зафиксированной эксфильтрации операторы еще некоторое время возились с доступом и 19 марта 2026 года развернули новые бэкдоры. На этом активность прекратилась; исследователи предполагают, что после этой даты злоумышленники потеряли доступ к устройству. Даже если взять только подтвержденный интервал, речь идет о месяцах наблюдения за человеком, который, вероятно, видел в почте листинги, внутренние обсуждения, календарь встреч, контакты и детали сделок. Для финансового сектора это не просто утечка данных, а потенциальный доступ к ранним сигналам о событиях, способных двигать цены.
Отдельно важен и сам выбор цели. Биржи, регуляторы и крупные финансовые посредники хранят не только коммерческую переписку, но и непубличную информацию о листингах, проверках, правоприменении и рыночных событиях. Поэтому взлом почты биржи интересен не только обычным киберпреступникам. Такой массив данных может быть полезен конкурентам, инвесторам с серой моральной оптикой или государственным структурам, если речь идет о разведывательной задаче. Кто именно стоял за этой кампанией, в отчете не говорится. Не раскрыт и первоначальный вектор компрометации. Но отсутствие ответа на вопрос «кто» здесь почти не меняет практического вывода: если у вас есть высокоценные сотрудники, атака может начаться не с нулевого дня, а с тихого lateral movement внутри уже взломанной среды.
Для русскоязычных разработчиков, продуктовых команд и ИТ-руководителей история полезна еще и тем, что ломает удобную иллюзию «мы не биржа, нас так не будут атаковать». На деле методы из таких операций быстро мигрируют вниз по рынку. Сегодня это топ-менеджер международной биржи, завтра CFO крупного e-commerce, руководитель b2b-платформы или человек, который ведет M&A, переговоры с инвесторами и кадровые решения. Если в компании до сих пор не считают подозрительными новые scheduled tasks, не контролируют выгрузку данных в облачные сервисы и игнорируют алерты EDR, то взлом почты биржи выглядит не экзотикой, а просто более дорогой версией общей проблемы.
Марка Элиаса из Symantec и Carbon Black в этом смысле трудно заподозрить в любви к драме: его рекомендации довольно приземленные. По его словам, организацию могли бы выручить решения класса CASB и DLP, способные заметить и остановить вывод данных в облачные сервисы, а также нормальная работа с алертами EDR. Звучит скучно, зато именно на таком скучном контроле обычно и спотыкаются атакующие, которые слишком долго рассчитывали прятаться среди «нормального» Windows-шума. Главный вопрос теперь не в том, сколько еще таких кампаний уже идут внутри крупных компаний, а в том, сколько из них пока выглядят для защиты как очередная задача в планировщике и привычный трафик в Dropbox.