Новости PhantomCore активизировалась: новый загрузчик PhantomDL нацелен на ВПК

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Группировка действует в России с начала 2024 года.


zt3xy5cnkxh6793hebm0mbbmq2aonjy6.jpg


Аналитики F.A.C.C.T Threat Intelligence с марта 2024 года Для просмотра ссылки Войди или Зарегистрируйся активность нового загрузчика PhantomDL, который связан с кибершпионской группой PhantomCore, известной своими атаками на российские организации с начала года.

PhantomDL используется для распространения вредоносных программ с помощью фишинговых писем, содержащих зашифрованные архивы с вредоносными файлами. В одном из случаев документ-приманка маскировался под акт приема-передачи строительной площадки на территории атомной отрасли России.


zoo5n11xblja2llnrt9x7zphc0fdacnm.png


Содержимое документа-приманки

При открытии PDF-файла в устаревших версиях программы WinRAR может быть активирован исполняемый файл. Атака основана на уязвимости Для просмотра ссылки Войди или Зарегистрируйся Если используется версия WinRAR 6.23 и выше, открывается лишь легитимный PDF-документ.

PhantomDL также обнаруживает, откуда осуществляется доступ к интернету. Если доступ осуществляется не с российского IP-адреса, соединение разрывается. В случае успешного соединения, загрузчик может получить команды для дальнейшего скачивания вредоносного ПО или завершения работы.

За последний месяц специалисты выявили новый образец PhantomDL, который не использует методы обфускации, что облегчило его анализ и позволило подтвердить связь с уже известной деятельностью PhantomCore. Согласно исследованию F.A.C.C.T, использование PhantomDL является частью стратегии PhantomCore, направленной на обход защитных механизмов и проведение кибершпионажа против российского военно-промышленного комплекса.
 
Источник новости
www.securitylab.ru

Похожие темы