F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, публикует исследование о новой группе кибершпионов PhantomCore. Группа, с начала 2024 года атакующая российские компании, получила свое название из-за одноименного трояна удаленного доступа, который использует в своих кампаниях.
Специалисты департамента Threat Intelligence F.A.C.C.T. обнаружили новую группу кибершпионов, с января 2024 года активно атакующую российские компании. Группа была названа PhantomCore, по причине того, что злоумышленники используют уникальный, ранее не описанный, троян удаленного доступа — PhantomRAT.
Первоначальным вектором атаки PhantomCore на российские компании являются фишинговые письма, содержащие защищенные паролем RAR-архивы (сам пароль содержится в теле письма). Причем атакующие эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR.
Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа, вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Кроме того, группа использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment), для затруднения обнаружения на зараженной системе.
Хотя на текущий момент мотивация проведенных атак окончательно не установлена, судя по целям и форматам рассылок, вероятнее всего, речь идет о кибершпионаже. Любопытно, что один из файлов, предназначавшийся для тестирования сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 года, из Киева. Еще два тестовых образца уникального вредоносного ПО, которое используется группировкой PhantomCore, также были загружены из Украины.
Согласно прогнозам, опубликованным в ежегодном отчете компании F.A.C.C.T. «Киберпреступность в России и СНГ, 2023–2024 гг.», основными киберугрозами, с которыми столкнутся российские компании и госучреждения в 2024 году станут вымогатели, кибершпионы и диверсанты, а также хактивисты, охотящиеся за базами данных отечественных компаний.
Подробности о первых атаках новой группы PhantomCore, а также индикаторы компрометации приведены в свежем блоге.