Malspam-кампании в СНГ используют бэкдор и BEC-атаки

В марте 2026 года специалисты зафиксировали серию malspam-кампаний, направленных на распространение JavaScript-бэкдора и затронувших, в частности, министерства энергетики и финансов в регионе Содружества Независимых Государств (СНГ). По предварительным оценкам, атаки носят финансово мотивированный характер и ориентированы на компрометацию учетных записей электронной почты (EAC) и схемы бизнес-компрометации электронной почты (BEC).

Инфраструктура и сеть доставки

Для проведения кампаний злоумышленники использовали две разные сети bulletproof hosting:

• GHOSTYNETWORKS — инфраструктура, базирующаяся в Соединенных Штатах;
• OMEGATECH — сеть, размещенная на Сейшельских островах.

Отдельного внимания заслуживает GHOSTYNETWORKS: по данным расследования, эта сеть представляет собой ребрендинг OPTIBOUNCE, связанного с известным хостинг-провайдером AnonRDP. Такая связка указывает на возможное использование инфраструктуры более опытными злоумышленниками, включая TeamPCP.

Применение bulletproof hosting позволяет атакующим дольше сохранять контроль над инфраструктурой, затруднять блокировку ресурсов и уходить от действий правоохранительных органов. Именно это делает подобные кампании особенно устойчивыми и сложными для нейтрализации.

Следы предыдущей активности

Анализ инфраструктуры показал, что текущая активность не является единичной. Исследователи обнаружили признаки более ранних кампаний malspam и другой вредоносной деятельности, уходящих корнями в конец 2025 года. Это свидетельствует о том, что злоумышленники:

• сохраняют устойчивость к внешнему воздействию;
• оперативно адаптируют инструменты и методы;
• выстраивают долгосрочную инфраструктуру для атак.

Почему это важно для организаций

Наблюдаемая тенденция подчеркивает рост сложности киберугроз, с которыми сталкиваются организации в регионе. В фокусе атак — не только кража доступа к почтовым ящикам, но и последующие сценарии финансового мошенничества через BEC.

«Использование пуленепробиваемых сетей отражает попытку сохранить закрепление и избежать действий правоохранительных органов».

В этой связи экспертный вывод однозначен: организациям необходимо переходить к более проактивной модели киберзащиты — с упором на раннее обнаружение, постоянный анализ подозрительной активности и быстрое реагирование на потенциальные компрометации.

Что рекомендуется

Чтобы снизить риски, организациям следует усилить контроль за почтовой инфраструктурой и смежными системами. В первую очередь это касается:

• мониторинга аномальной активности в электронной почте;
• проверки признаков компрометации учетных записей;
• анализа подозрительных вложений и ссылок в сообщениях;
• постоянной оценки внешней инфраструктуры, используемой злоумышленниками;
• оперативного реагирования на попытки закрепления и повторного доступа.

С учетом выявленной устойчивости кампаний и использования bulletproof hosting, ставка на реактивную защиту уже недостаточна. Для организаций в регионе СНГ наиболее эффективным подходом становится заблаговременное выявление угроз и подготовка к инцидентам до того, как атака приведет к ущербу.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.