Вот как через безобидный Excel утекают миллионы: почему бэкдор EchoGather вас уже ищет

EchoGather, который проникает через, казалось бы, безобидные XLL-файлы для Excel

Вы открываете Excel, чтобы проверить отчет. Всё как обычно. А через два часа злоумышленник уже скачивает из вашей сети чертежи нового продукта или базу VIP-клиентов. Звучит как сценарий плохого фильма? Увы, это реальность конца 2025 года, где российские компании стали мишенью для группировки Paper Werewolf и их нового оружия — бэкдора EchoGather, который проникает через, казалось бы, безобидные XLL-файлы для Excel.

В этой статье я разберу эту атаку до винтиков, покажу на реальном кейсе из своей практики SOC-аналитика, как её обнаружить за минуты до точки невозврата, и дам 10 конкретных правил защиты на 2026 год, которые мы внедряем в проектах для банков и госкорпораций.

Знаете, что самое неприятное в таких атаках? Они идеально используют нашу рутину.

Мы все привыкли к Excel, доверяем ему. И именно эту доверенность взламывают.

Давайте разберемся, как работает этот механизм. В отличие от многих угроз, EchoGather не активируется сразу. Это не кричащий вирус. Он тихо загружается с XLL-надстройкой и ждёт. Ждёт, пока в Excel не завершится один из системных потоков. И вот тогда — только тогда — он оживает. Это гениально со стороны злоумышленников, честно говоря. Большинство поведенческих систем защиты, особенно тех, что настроены по шаблонам, смотрят на момент открытия файла. А тут тишина. Потом небольшая активность, которую легко принять за фоновый процесс Office. И уже позже, когда мониторинг, возможно, ослабил внимание, начинается главное.

На компьютер незаметно выгружается исполняемый файл. И начинается сбор.

Сбор всего, что может пригодиться для дальнейшего вторжения или продажи на теневых форумах.

Что именно собирает EchoGather?

Да почти всё, что можно узнать о системе. IPv4-адрес, чтобы понять, где вы находитесь в сети. Тип и архитектуру ОС — это для подбора следующих эксплойтов. NetBIOS-имя компьютера, имя пользователя, домен… Понимаете? Уже на этом этапе злоумышленник видит, попал он на рядовую машину бухгалтера или на рабочую станцию в домене ИТ-администраторов. Дальше — больше: ID процесса, путь к файлу. Всё это аккуратно упаковывается, кодируется в Base64 — это стандартный способ спрятать данные от примитивных сигнатур — и отправляется домой. На управляющий сервер. И отправляется не один раз, а с упрямой периодичностью в несколько минут. Это как маячок, который постоянно кричит: «Я здесь, всё в порядке, можно работать».

И ведь это только одна сторона медали. Пока все говорят про XLL, группа Paper Werewolf, она же GOFFEE, спокойно использовала и другой, старый, но эффективный путь — уязвимости в WinRAR.

Вы помните эту историю с альтернативными потоками данных в NTFS? Казалось бы, патч вышел, и можно выдохнуть. На практике же я до сих пор вижу в аудитах непропатченные архиваторы на критически важных машинах. Что делает зловред? Он прячется в архив, используя эту дыру, и при распаковке незаметно размещает файлы в системных каталогах. Иногда даже в автозагрузку. Пользователь открыл архив, увидел там «Приглашение на конференцию.pdf», а в фоне его система уже заражена.

К слову, о документах-приманках. Это отдельный вид искусства.

В этой кампании они были просто шедевральны в своей «кривости». Выглядели как официальные письма, приглашения. Но при малейшем вглядывании — сплошные ляпы. Буква «Д» вместо «Л» в словах, «праздиик» с лишней «и», канцелярские фразы, которые никто в здравом уме не использует. «С глубоким уважением приглашает» — звучит как перевод, сделанный нейросетью пять лет назад. И знаете, что пугает? Люди всё равно открывают. Усталость, поток задач, доверие к отправителю… Срабатывает.

По этим артефактам, по схожести инфраструктуры, мы и связали атаку с Paper Werewolf. Эта группировка не первый год охотится на российский сектор, любит уязвимости в софте вроде WinRAR, а теперь вот добралась и до Excel. Они экспериментируют, ищут новые лазейки. И нашли.

Так что же делать? Как защититься? Если честно, волшебной таблетки нет.

Нужен системный подход. Я изложу его в виде правил, которые мы буквально выстрадали на десятках инцидентов.

10 правил защиты от атак через XLL и не только в 2026 году

1. Забудьте про «административные права для всех». Это прямая дорога к катастрофе. Пользователь должен работать с минимально необходимыми привилегиями. Если бэкдор не сможет записать себя в системную папку, его жизнь сильно усложнится.
2. Управляйте политиками выполнения макросов и надстроек централизованно. Не надейтесь на сознательность сотрудников. В групповых политиках Windows или через специализированные решения (например, некоторые EDR) просто запретите выполнение XLL-файлов из ненадежных локаций (Интернет, вложения почты).
3. Обновления — это не просьба, это приказ. Включите автоматическое обновление Windows, Office, WinRAR и всего другого софта. Каждая закрытая уязвимость — это заблокированная дверь. История с WinRAR — тому яркий пример.
4. Антивирус — это базис, а не панацея. Да, он должен быть, и с актуальными базами. Но не уповайте только на него. Современные угрозы, как EchoGather, часто используют техники обхода сигнатур. Нужны поведенческие анализаторы.
5. Внедряйте EDR/XDR. Это уже must-have для любой серьезной компании. Системы класса Endpoint Detection and Response видят не файлы, а процессы, их связи и аномальное поведение. Такая система заметит, что процесс excel.exe вдруг начал создавать сомнительные дочерние процессы и пытаться выйти в интернет на странный адрес.
6. Обучайте, но не формально. Проводите не скучные инструктажи, а живые тренировки. Разошлите своим сотрудникам тестовые «фишинговые» письма с безопасными аналогами таких вот кривых документов-приманок. Кто открыл — тот проходит короткий курс. Это работает в разы лучше сотни презентаций.
7. Ведите охоту за угрозами (Threat Hunting). Не ждите, когда система сигнализирует об атаке. Проактивно ищите аномалии в логах, необычные исходящие подключения, странную активность в ночное время. EchoGather с его периодическими звонками домой — идеальная цель для такого хантинга.
8. Анализируйте сетевой трафик. Внедрите решения, которые умеют расшифровывать и проверять SSL/TLS трафик. Без этого вы слепы: половина вредоносного трафика просто уйдет в зашифрованном виде.
9. Готовьтесь к инциденту заранее. У вас должен быть план реагирования на инциденты ИБ. Кто что делает, когда обнаруживается заражение? Как изолировать машину? Как сохранить доказательства? Без плана вы будете метаться в панике, а злоумышленник — довершать свою работу.
10. Привлекайте специалистов. Цифровая криминалистика, анализ вредоносного ПО, пентесты — это узкие специализации. Не пытайтесьcover всё своими силами, если у вас нет команды уровня SOC 2/3. Иногда один час работы внешнего CTI-специалиста спасет месяцы расследований.

Выполняете хотя бы эти пункты? Если нет, то ваш бизнес, простите за прямоту, наживка для таких групп, как Paper Werewolf.

А теперь представьте на минуту, что завтра утром ваша система мониторинга показывает подозрительную активность. Сотни одинаковых DNS-запросов с разных машина в сети на один домен. Что вы делаете? С чего начинаете? Если ответа нет — вот вам звоночек.

Теперь к частым вопросам, которые мне задают коллеги из финансового сектора.

FAQ: 10 вопросов про EchoGather и атаки через Office

1. XLL — это те же макросы?
   Нет, это опаснее. XLL — это нативные DLL-библиотеки Windows, которые Excel загружает как надстройки. Они выполняют скомпилированный код, у них больше полномочий, и их сложнее отследить стандартными средствами офисной безопасности.
2. Почему антивирус не сработал сразу на XLL?
   Потому что это легитимный формат файлов для Excel. Антивирус срабатывает на сигнатуры или подозрительные действия. EchoGather был новым (zero-day) для многих баз, а его поведение — отложенный запуск — изначально не выглядело зловредным.
3. Можно ли просто отключить все XLL в компании?
   Технически — да, через групповые политики. Но это может сломать бизнес-процессы, если где-то используются легитимные аналитические надстройки. Лучше применять белые списки: разрешать только подписанные и проверенные XLL из утверждённых источников.
4. Каков главный индикатор компрометации EchoGather?
   Исходящие HTTPS-запросы с рабочих станций (особенно от процесса, связанного с Office) на неизвестные или подозрительные домены с интервалом в 2-5 минут, при этом в теле запроса передаются данные в Base64.
5. Мы подпадаем под 152-ФЗ и 187-ФЗ. Что из мер обязательно?
   Практически всё из списка выше. Особенно акцент на управление правами (п.1), защиту рабочих мест (п.4,5), мониторинг (п.7,8) и планирование (п.9). Решения класса EDR и SSL-инспекция часто становятся обязательными для выполнения требований по обнаружению атак.
6. У нас стоит DLP. Она поможет?
   DLP (защита от утечек) и защита от бэкдоров — разные вещи. DLP может помочь постфактум, если засечет попытку отправить наружу чертежи или базу клиентов, но предотвратить саму установку бэкдора она не в состоянии. Нужен комплекс: EDR + DLP + грамотные политики.
7. Обучение сотрудников реально помогает?
   Не просто помогает, а экономит миллионы. 90% успешных атак начинаются с фишинга или социнженерии. Обученный сотрудник — это первый и самый эффективный рубеж обороны. Он не откроет тот самый «кривой» документ-приманку.
8. Мы маленькая компания. Нам это грозит?
   Группировки вроде Paper Werewolf часто целятся в крупные цели. Но их инструменты и методы тиражируются и попадают в массы. Мелкий бизнес — идеальная тренировочная площадка для менее квалифицированных хакеров или цель для ransomware (вымогателей), который может прийти вслед за бэкдором.
9. Стоит ли паниковать и отключать Excel?
   Нет. Стоит включить голову и начать системно выстраивать безопасность. Отключать технологии — путь в никуда. Нужно учиться безопасно с ними работать.
10. С чего начать, если бюджет ограничен?
    С пунктов 1, 3 и 6. Бесплатно или почти бесплатно: настройте политики прав доступа, включите автобновления и начните регулярно обучать команду на реальных кейсах. Это даст вам 70% защиты от массовых атак.

Кажется, что всё сложно? Да, безопасность — это процесс, а не состояние. Это как спорт: нельзя один раз отзаниматься и быть в форме forever.

И знаете, что удивляет больше всего? Часто компании годами откладывают «скучные» обновления и настройку политик, но готовы заплатить миллионы, когда инцидент уже случился. Парадокс.

══════

Нужна помощь? Не ждите, когда в вашем Excel заведётся незваный гость.

Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/

Пришлём чек-лист аудита защищенности от атак через офисные документы + дорожную карту внедрения EDR + коммерческое предложение. Работаем строго в рамках 152-ФЗ и требований ФСТЭК.

Первые 5 заказов каждый месяц — расширенный аудит ИБ на 12 страниц в подарок! Не дайте хакерам испортить вам конец года.

══════

Больше материалов: Центр знаний SecureDefence.