Новости Фантомные хакеры с украинским следом: PhantomCore атакует Россию

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Следы уникального трояна группировки ведут в Киев.


9ms8g49gzlsdasxotjvz63c57da2pzox.jpg


Эксперты из департамента Threat Intelligence компании F.A.C.C.T. выявили новую хакерскую группу, получившую название PhantomCore. С января 2024 года эта группа активно атакует российские компании, используя уникальный, ранее неизвестный троян удаленного доступа PhantomRAT.


06s7gw5kjdosc3xz0w5vc0v3ppc90fvq.png


Атаки PhantomCore начинаются с рассылки фишинговых писем, содержащих защищенные паролем RAR-архивы. Пароль к архивам указан прямо в тексте письма. В архивах злоумышленники эксплуатируют новую вариацию уязвимости WinRAR (CVE-2023-38831), где вместо ZIP используются RAR-архивы.


e71uhm5ja81fu47prbqtnqu56i55ed2f.png


Образец фишингового письма, отправленного группой PhantomCore

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. При попытке открыть PDF запускается вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Группа также использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.

Пока мотивы атак точно не установлены, но, судя по целям и методам, вероятнее всего, речь идет о кибершпионаже. Интересно, что один из файлов, предназначавшийся для тестирования сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 года, из Киева. Еще два тестовых образца уникального вредоносного ПО PhantomCore также были выложены из Украины.

Согласно Для просмотра ссылки Войди или Зарегистрируйся , основными киберугрозами для российских компаний и госструктур в 2024 году станут вымогатели, кибершпионы, диверсанты и хактивисты, охотящиеся за базами данных.

Подробности о первых атаках новой группы, а также индикаторы компрометации приведены в Для просмотра ссылки Войди или Зарегистрируйся компании.
 
Источник новости
www.securitylab.ru

Похожие темы