Призрак в архиве: эксперты F.A.C.C.T. обнаружили атаки новой группы кибершпионов

F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, публикует исследование о новой группе кибершпионов PhantomCore. Группа, с начала 2024 года атакующая российские компании, получила свое название из-за одноименного трояна удаленного доступа, который использует в своих кампаниях.

Специалисты департамента Threat Intelligence F.A.C.C.T. обнаружили новую группу кибершпионов, с января 2024 года активно атакующую российские компании. Группа была названа PhantomCore, по причине того, что злоумышленники используют уникальный, ранее не описанный, троян удаленного доступа — PhantomRAT.

Киллчейн атаки группы PhantomCore

Первоначальным вектором атаки PhantomCore на российские компании являются фишинговые письма, содержащие защищенные паролем RAR-архивы (сам пароль содержится в теле письма). Причем атакующие эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR.

Образец фишингового письма, отправленного группой PhantomCore

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа, вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Кроме того, группа использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment), для затруднения обнаружения на зараженной системе.

Хотя на текущий момент мотивация проведенных атак окончательно не установлена, судя по целям и форматам рассылок, вероятнее всего, речь идет о кибершпионаже. Любопытно, что один из файлов, предназначавшийся для тестирования сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 года, из Киева. Еще два тестовых образца уникального вредоносного ПО, которое используется группировкой PhantomCore, также были загружены из Украины.

Согласно прогнозам, опубликованным в ежегодном отчете компании F.A.C.C.T. «Киберпреступность в России и СНГ, 2023–2024 гг.», основными киберугрозами, с которыми столкнутся российские компании и госучреждения в 2024 году станут вымогатели, кибершпионы и диверсанты, а также хактивисты, охотящиеся за базами данных отечественных компаний.

Подробности о первых атаках новой группы PhantomCore, а также индикаторы компрометации приведены в свежем блоге.

О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.