Вопросы, поставленные на исследование
Содержатся ли в выгрузках почтового сервера сведения о подмене адресов отправителей или признаках компрометации трафика в спорный период?
Имеются ли во вложениях к электронным сообщениям признаки модификации либо несоответствия их визуального и технического содержания фактическим обстоятельствам отправки и получения?
Обнаружены ли на корпоративных устройствах пользователей данные об использовании онлайн-сервисов для создания файлов с реквизитами (печать, подпись)?
Результаты исследования
Проведённый анализ почтовых выгрузок показал наличие признаков подмены адреса отправителя: письма с домена, внешне схожего с оригинальным, проходили через иные почтовые сервера, не имели проверки по базам доверенных серверов и отмечались как потенциальный спам. В отличие от них, письма с подлинного домена проходили проверку SPF и DKIM, что подтверждает их подлинность.
Исследование вложений выявило несоответствие их структуры: документы, формально имеющие вид векторных файлов, содержали вставленные растровые изображения печатей и подписей. Такие признаки свидетельствуют о модификации вложений и не позволяют считать их подлинными. Дополнительно были обнаружены цифровые следы использования онлайн-сервисов редактирования PDF-файлов, что усиливает вывод о вмешательстве в структуру документов.
При анализе корпоративных устройств сотрудников сведения об использовании подобных онлайн-сервисов (в частности iLovePDF) не выявлены. Найденные документы были загружены напрямую из почтовых сообщений и не создавались локально.
В совокупности полученные результаты указывают на то, что компрометация электронного документооборота произошла на стороне отправителя либо в процессе пересылки, а используемые вложения несут признаки внешней модификации.
