Фишинг на безопасников: почему ИБ-конференции стали удобной приманкой

от автора

Фишинговое письмо от имени конференции по информационной безопасности звучит почти как шутка. Человек собирается слушать доклады о защите от атак, а вредоносный файл получает ещё до регистрации.

За последние дни мне попались сразу два похожих случая. Сначала «Газинформсервис» сообщил о рассылке от имени форума GIS DAYS. Затем организаторы OFFZONE предупредили о поддельных приглашениях на свою конференцию.

Я не участвовал в расследовании этих кампаний и не разбирал вредоносные файлы самостоятельно. Поэтому ниже будет разбор опубликованных данных и самой схемы, которая, судя по старым кейсам, используется уже много лет.

Письмо выглядит слишком нормально

В случае с GIS DAYS злоумышленники отправляли письма различным компаниям с темой «Генеральному директору. Приглашение на GIS DAYS 2026 — форум по информационной безопасности».

Фишинговое приглашение на GIS DAYS 2026

Фишинговое приглашение на GIS DAYS 2026

Внутри находились PDF-приглашение и защищённый паролем ZIP-архив. PDF был оформлен в фирменном стиле форума: актуальный логотип, официальный текст, реквизиты и поддельная электронная подпись. Там же был указан пароль GISDAYS2026!Guest.

После распаковки пользователь получал два файла с расширением .exe. По данным «Газинформсервиса», их запуск устанавливал на компьютер троян. Вредоносное ПО создавало запланированную задачу Windows, которая поддерживала устойчивое SSH-соединение с командным сервером.

Подробнее об этом можно прочитать в оригинальной статье Газинформсервиса.

Через несколько дней похожая история произошла с OFFZONE. В ИБ-чатах появился скриншот приглашения от имени BI.ZONE.

Фишинговое приглашение от имени BI.ZONE

Фишинговое приглашение от имени BI.ZONE

В документе предлагалось открыть архив с презентацией конференции и формой для оформления гостевого приглашения. Пароль выглядел знакомо: OFFZONE2026!Guest.

Организаторы OFFZONE подтвердили фишинговую рассылку. По их данным, письма приходили с адреса promkonf@mail.ru, содержали поддельную электронную подпись и архив с паролем. Команда конференции попросила получателей удалить письмо и сообщить о нём сотрудникам, которые отвечают за безопасность.

Вернёмся к паролям. В обоих случаях они построены почти одинаково: название конференции, год, восклицательный знак и слово Guest. С точки зрения психологии для получателя запароленный архив может создавать ощущение защищённого документооборота. А для атакующего зашифрованный архив может скрыть содержимое от части автоматических проверок почтового шлюза. Это уже моя интерпретация, однако совпадение двух сценариев выглядит явным: псевдо-официальный PDF объясняет, зачем нужен архив, а пароль добавляет всей конструкции солидности.

Такие приглашения рассылали и раньше

Тема конференции хорошо подходит для целевого фишинга. В открытом доступе есть программа, список партнёров, фотографии, имена спикеров и фирменные материалы. Собрать убедительное письмо можно без доступа к инфраструктуре организатора.

В 2016 году группа Lotus Blossom использовала приглашение на настоящий Cybersecurity Summit компании Palo Alto Networks в Джакарте. Вредоносный документ назывался [FREE INVITATIONS] CyberSecurity Summit.doc.

После открытия файл эксплуатировал CVE-2012-0158 и устанавливал троян Emissary. Пользователю при этом показывали изображение настоящего приглашения на конференцию. Судя по названию файла и оформлению приманки, атакующие могли видеть оригинальную рассылку или получить доступ к почтовому ящику одного из адресатов.

Фишинговое приглашение на Cybersecurity Summit

Фишинговое приглашение на Cybersecurity Summit

Год спустя Cisco Talos обнаружила кампанию Group 74, которую связывали с APT28 и Fancy Bear. Приманкой стал документ Conference_on_Cyber_Conflict.doc с информацией о конференции CyCon US.

Внутри документа находился VBA-макрос. После запуска он устанавливал новую версию разведывательного вредоносного ПО Seduploader. Какого-то свежего эксплойта злоумышленникам тут не потребовалось — расчёт был на то, что человек сам разрешит выполнение макроса.

Фишинговый документ с информацией о конференции CyCon US

Фишинговый документ с информацией о конференции CyCon US

Фишинг, который умеет ждать

В 2025 году Volexity описала кампании группы UTA0355. Злоумышленники создавали сайты, похожие на страницы реальных европейских мероприятий, и выдавали себя за организаторов.

Первое письмо могло вообще не содержать вредоносной ссылки. Атакующий начинал обычную переписку, уточнял интерес к мероприятию и ждал ответа. Ссылка на поддельную регистрацию появлялась позже, когда у получателя уже формировалось доверие к собеседнику.

Если человек отвечал, что приехать не сможет, разговор мог продолжиться. Ему предлагали зарегистрироваться ради будущих обновлений или порекомендовать другого участника. В описанных Volexity кампаниях использовались темы Belgrade Security Conference и Brussels Indo-Pacific Dialogue, а конечной целью был доступ к учётным записям через механизмы OAuth и Device Code.

Скриншоты почтовой переписки злоумышлеников с жертвами

Скриншоты почтовой переписки злоумышлеников с жертвами

Материалы семинара внутри ISO

Совсем свежий вариант этой схемы описал Genians Security Center в отчёте об Operation Capsule Vault.

В июне 2026 года злоумышленники рассылали людям из исследовательской и академической среды материалы реальной конференции. Письмо выглядело как обычная отправка документов после мероприятия.

Вместо PDF пользователь скачивал с Dropbox ISO-образ. Внутри находился PIF-файл, который выглядел как документ благодаря названию и иконке. Скрытые по умолчанию расширения Windows завершали маскировку.

После запуска человек действительно видел ожидаемый PDF. В фоне из того же файла извлекался второй компонент, который загружал RokRAT в память и внедрял его в процесс explorer.exe. Для связи вредоносное ПО использовало легитимные облачные сервисы. Genians оценила связь кампании с APT37 как весьма вероятную.

 Цепочка Operation Capsule Vault: фишинговое письмо, загрузка ISO-образа, запуск замаскированного PIF-файла и внедрение RokRAT в explorer.exe.

Цепочка Operation Capsule Vault: фишинговое письмо, загрузка ISO-образа, запуск замаскированного PIF-файла и внедрение RokRAT в explorer.exe.

Почему эта схема работает

ИБ-конференция даёт атакующему готовую легенду.

Не приходится придумывать, почему адресату отправили документ. Программа мероприятия опубликована, даты известны, фирменный стиль можно скопировать, а список потенциальных целей часто собирается через открытые источники.

Есть и психологический момент. Приглашение на закрытое мероприятие или предложение получить гостевой билет воспринимается как знак профессионального признания. Проверять подарок обычно хочется меньше, чем неожиданное требование оплатить счёт.

Архив тут тоже уместен. В нём якобы лежат анкета, программа, условия участия и презентационные материалы. Даже исполняемый файл можно назвать «формой регистрации» или «заявкой участника».

Специалисты по безопасности остаются людьми. Они спешат, ошибаются, читают почту между задачами и доверяют знакомым брендам.

Итоги

Это не камень в чей-либо огород, но хотелось бы видеть после подобных инцидентов полноценные разборы с индикаторами, временем обнаружения и результатами расследования. Для ИБ-компании открытый рассказ о собственной реакции выглядит убедительнее очередной презентации про управление инцидентами.

Фишинг от имени конференций уже сформировался в отдельный тип приманки. Злоумышленники способны неделями вести переписку, создавать сайты мероприятий, копировать реальные материалы и сопровождать жертву на разных этапах атаки. При этом старые добрые приглашения с вредоносными архивами, как мы видим, никуда не делись.

Ирония даже глаза колет.

Письмо приходит людям, которые сами рассказывают другим, как распознавать фишинг. Просто злоумышленники тоже слушают эти рассказы и постепенно убирают из своих писем всё, что раньше казалось подозрительным.


В Telegram я выкладываю то, что обычно не помещается в статьи: первоисточники, скриншоты, промежуточные выводы и разборы реальных ИБ-инцидентов.

Без пересказов пресс-релизов и легенды о десятилетиях опыта — я честно показываю, как сам разбираюсь в теме, учусь и иногда меняю мнение после новых фактов.

Мой Telegram-канал: Кибербезнадёжен

ссылка на оригинал статьи https://habr.com/ru/articles/1059220/