Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ukierunkowane kampanie cyberwywiadowcze coraz częściej koncentrują się nie na całej infrastrukturze ofiary, lecz na pojedynczych, wysoko uprzywilejowanych zasobach informacyjnych. Jednym z najcenniejszych celów pozostaje skrzynka pocztowa kadry kierowniczej, ponieważ zawiera informacje o negocjacjach, kalendarzach spotkań, relacjach biznesowych, planach podróży oraz decyzjach operacyjnych o wysokiej wrażliwości.
Opisywany incydent pokazuje, że długotrwały dostęp do konta Outlook jednego z menedżerów dużej giełdy może zapewnić napastnikom szeroki wgląd w działalność organizacji bez konieczności prowadzenia rozległej lateralizacji w sieci.
W skrócie
- Atakujący przez około pięć miesięcy utrzymywali dostęp do środowiska roboczego wysokiego rangą menedżera.
- Głównym celem była systematyczna kradzież zawartości skrzynki Outlook, a nie klasyczny atak finansowy czy sabotaż.
- Napastnicy wykorzystywali narzędzia podszywające się pod legalne procesy oraz bibliotekę służącą do pracy z danymi Outlooka.
- Eksfiltracja była realizowana małymi partiami przez popularne usługi chmurowe, co utrudniało wykrycie.
- Charakter działań wskazuje na precyzyjnie zaplanowaną operację cyberwywiadowczą.
Kontekst / historia
Z ustaleń analityków wynika, że celem była skrzynka pocztowa starszego menedżera działającego w globalnej infrastrukturze rynku kapitałowego. Pierwsze ślady aktywności odnotowano 10 października 2025 roku, a faza aktywnej komunikacji z infrastrukturą sterującą rozpoczęła się 12 listopada 2025 roku. Dostęp utrzymywano do marca 2026 roku, co oznacza bardzo długi czas obecności przeciwnika w środowisku.
Badacze nie przypisali kampanii do znanej grupy APT. Brak jednoznacznych cech infrastruktury, wykorzystanie powszechnie dostępnych usług oraz skupienie na pojedynczym, wysoko wartościowym celu znacząco utrudniły atrybucję. Mimo to profil ofiary, cierpliwość operacyjna oraz ograniczony zakres działań wpisują się w model klasycznego cyberwywiadu ukierunkowanego na dane wrażliwe z punktu widzenia rynku.
Analiza techniczna
Na zainfekowanym hoście działały złośliwe pliki binarne uruchamiane z uprawnieniami SYSTEM i podszywające się pod komponenty Adobe Acrobat oraz OneDrive. Taki sposób działania sugeruje, że napastnik uzyskał trwały dostęp do stacji roboczej jeszcze przed wykryciem incydentu przez zespół bezpieczeństwa.
Centralnym elementem operacji było narzędzie wykorzystujące bibliotekę Aspose, czyli legalny komponent .NET służący do pracy z plikami pocztowymi. Zostało ono użyte do konwersji lokalnego pliku OST skrzynki Outlook do archiwum PST. Następnie dane były eksportowane i wyprowadzane etapami, w podziale na zakresy czasowe obejmujące kolejne tygodnie. Dzięki temu napastnicy mogli prowadzić niemal ciągłą kradzież korespondencji bez generowania pojedynczego, dużego transferu danych.
Kolejne ekstrakcje następowały cyklicznie co kilka tygodni. Taki model działania pozwalał przeciwnikowi stopniowo budować pełny obraz komunikacji ofiary, jednocześnie ograniczając ryzyko wykrycia przez systemy DLP, EDR lub monitoring ruchu sieciowego. To charakterystyczny przykład techniki low-and-slow, w której priorytetem pozostaje skrytość, a nie szybkość działania.
Do eksfiltracji użyto popularnych usług chmurowych przeznaczonych dla użytkowników końcowych, w tym Dropbox i OneDrive Personal. Ruch do takich usług często nie wzbudza podejrzeń, ponieważ bywa mylony z codzienną aktywnością biznesową. Dodatkowo napastnik korzystał z adresów IP Microsoftu zapisanych na sztywno zamiast nazw hostów, co mogło ograniczyć widoczność zdarzeń w warstwie DNS i utrudnić korelację telemetryczną.
Mechanizmy utrzymania dostępu opierały się na okresowym ponownym rejestrowaniu zaplanowanych zadań. Nazwy tych zadań imitowały procesy i usługi związane z Adobe, Lenovo oraz OneDrive. Interwały uruchamiania były zmieniane, między innymi na 5 minut, 5 godzin, 15 godzin i 24 godziny. Taka rotacja pozwalała utrzymać niski ślad operacyjny oraz zwiększała odporność na częściowe czyszczenie środowiska. Pod koniec kampanii pojawiły się również dodatkowe pliki binarne podszywające się pod usługę synchronizacji OneDrive oraz komponent sterownika Adobe.
Konsekwencje / ryzyko
Przejęcie skrzynki pocztowej menedżera giełdy oznacza dostęp do informacji potencjalnie wpływających na rynek. Mogą to być dane dotyczące planowanych notowań, działań regulacyjnych, rozmów z partnerami, strategicznych decyzji, wydarzeń korporacyjnych czy relacji z kluczowymi interesariuszami. Nawet jeśli atakujący nie prowadzi sabotażu ani nie szyfruje systemów, skutki wywiadowcze takiego incydentu są bardzo poważne.
Dla organizacji finansowych oraz podmiotów infrastruktury rynku kapitałowego taki scenariusz oznacza wysokie ryzyko naruszenia poufności informacji niepublicznych. Może to prowadzić do strat reputacyjnych, problemów regulacyjnych, konieczności raportowania incydentu, a także do wtórnych operacji socjotechnicznych przeciwko partnerom biznesowym i pracownikom. Długi czas obecności napastnika w środowisku sugeruje dodatkowo niedostateczną widoczność telemetryczną lub zbyt niski poziom detekcji zachowań pozornie zgodnych z normalnym ruchem użytkownika.
Rekomendacje
Organizacje powinny traktować skrzynki pocztowe kadry zarządzającej jako zasoby krytyczne i objąć je podwyższonym nadzorem bezpieczeństwa. W praktyce oznacza to wymuszenie silnego uwierzytelniania wieloskładnikowego, ograniczenie dostępu z urządzeń niezarządzanych oraz wdrożenie zasad conditional access zależnych od ryzyka sesji, geolokalizacji i stanu endpointu.
Konieczne jest monitorowanie nietypowych operacji na plikach OST i PST, zwłaszcza masowych konwersji, eksportów lub odczytów skrzynek przez procesy, które nie są standardowym klientem pocztowym. W środowiskach EDR warto budować reguły wykrywające uruchamianie narzędzi podszywających się pod procesy Adobe, OneDrive lub komponenty producentów sprzętu, a także anomalie w harmonogramie zadań systemowych.
Równie istotna jest kontrola ruchu do usług chmurowych typu personal cloud storage. Organizacje powinny rozróżniać ruch do tenantów firmowych i do kont prywatnych, a tam, gdzie to możliwe, blokować lub silnie ograniczać transfer danych do niezarządzanych przestrzeni dyskowych. Dodatkową warstwą ochrony mogą być polityki DLP analizujące wzorce eksportu archiwów pocztowych oraz segmentacja uprawnień na stacjach roboczych użytkowników uprzywilejowanych.
Z perspektywy reagowania na incydenty warto regularnie przeglądać zaplanowane zadania, mechanizmy autostartu i nietypowe usługi systemowe, szczególnie na urządzeniach członków zarządu i wyższej kadry menedżerskiej. Przydatny będzie również threat hunting ukierunkowany na długoterminowe, niskoszumowe operacje, w których przeciwnik wykorzystuje legalne biblioteki, zaufane platformy chmurowe i minimalizuje liczbę artefaktów.
Podsumowanie
Opisany incydent potwierdza, że nowoczesny cyberwywiad nie zawsze wymaga rozległej kompromitacji infrastruktury. Czasami wystarczy cierpliwy, wielomiesięczny dostęp do jednej skrzynki Outlook, aby uzyskać strategiczny wgląd w działalność organizacji.
W sektorze finansowym szczególnie niebezpieczne są operacje prowadzone małymi krokami, z użyciem legalnych narzędzi i popularnych usług chmurowych, ponieważ łatwo stapiają się z normalnym ruchem biznesowym. Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona kont kierownictwa, monitoring eksportu danych pocztowych i detekcja subtelnych mechanizmów persystencji powinny należeć do priorytetów.
Źródła
- Security Affairs — https://securityaffairs.com/193086/intelligence/cyber-espionage-campaign-targeted-stock-exchange-executives-outlook-account.html
- Symantec Enterprise Blog — https://www.security.com/threat-intelligence/espionage-campaign-stock-exchange
- Microsoft Learn, Outlook data files overview — https://learn.microsoft.com/
- MITRE ATT&CK — Scheduled Task/Job — https://attack.mitre.org/techniques/T1053/
- MITRE ATT&CK — Exfiltration to Cloud Storage — https://attack.mitre.org/techniques/T1567/002/