Новости От IT до оборонки: PhantomCore расширяет список жертв в России

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Злоумышленники маскируют вредоносные файлы под легитимные договоры.


2gzkf6ohza98web3zxtfgj8qm46nrr3e.jpg


5 сентября 2024 года специалисты исследовательской группы F.A.C.C.T. зафиксировали серию новых фишинговых рассылок, организованных кибершпионской группировкой PhantomCore. Целями атак стали несколько российских организаций, среди которых:

  • российская ИТ-компания, разрабатывающая программное обеспечение и онлайн-кассы;
  • компания, занимающаяся организацией командировок;
  • конструкторское бюро;
  • производитель систем и высокотехнологичного оборудования для беспроводной связи.
PhantomCore продолжает использовать уже скомпрометированные сторонние организации для проведения атак через фишинговые письма. Эксперты F.A.C.C.T. подробно изучили и разобрали недавние атаки.

Новые фишинговые рассылки

Одним из примеров фишинговых атак стало письмо, отправленное с, вероятно, скомпрометированного адреса компании, занимающейся строительством и автоматизацией объектов электроэнергетики и транспорта. В теме письма было указано «Договор на поставку обр №00694723 от 04.09.2024». Внутри содержалось вложение — архив с аналогичным названием, защищенный паролем. Такой формат вложений часто используется злоумышленниками для маскировки под важные документы, такие как договоры или счета-фактуры. Пример содержимого письма показан на рисунке 1.


4sb6adqmt7h2j37zrvecn9m36ii169mx.png


Рис. 1 — Пример письма из рассылки PhantomCore от 05.09.2024

Вложение представляло собой архив, внутри которого находились два файла: один исполняемый, другой — легитимный PDF-документ-приманка с таким же именем. Примечательно, что злоумышленники усложнили пароль к архиву, сделав его более сложным по сравнению с предыдущими атаками. Содержимое архива представлено на рисунке 2.


c32lvgzntdzlvi3gf9i9jgr714yyrvci.png



Рис. 2 — Содержимое архива «Договор_на_поставку_обр_00694723_от_04_09_2024.rar»

Злоумышленники продолжают использовать уязвимость CVE-2023-38831, которая позволяет исполняемому файлу запускаться при открытии PDF-документа пользователем. Уязвимость затрагивает версии WinRAR ниже 6.23.

<h3>Вредоносное ПО PhantomCore.KscDL_trim</h3> Исполняемый файл, содержащийся в архиве, представляет собой вредоносную программу, классифицированную как PhantomCore.KscDL_trim. Эта программа является облегченной версией загрузчика PhantomCore.KscDL, написанной на языке C++ и упакованной с использованием инструмента UPX. Вредоносное ПО использует HTTP-протокол для взаимодействия с управляющим сервером C2 по адресу: 185[.]130[.]251[.]55:80.

PhantomCore.KscDL_trim обладает следующими функциями:

  • загрузка и запуск файлов с C2-сервера;
  • выполнение произвольных команд через интерпретатор команд Windows;
  • циклическая отправка запросов для получения новых команд с C2.
При первом запуске программа собирает информацию о системе жертвы, включая доменное имя, IP-адрес, версию операционной системы и имя пользователя. Эта информация передается на сервер с помощью POST-запроса, после чего система жертвы начинает получать команды для выполнения. Пример последовательности команд, используемых для профилирования жертвы, приведен на рисунке 3.


igznu1040pi5ksb4wxp998ib678b2u25.png


Рис. 3 — Команды PhantomCore для профилирования жертвы

Команды, используемые загрузчиком, позволяют злоумышленникам загружать файлы на зараженную систему, выполнять команды в командной строке Windows, а также запускать файлы на устройстве жертвы. После выполнения каждой команды результаты отправляются обратно на C2-сервер.
 
Источник новости
www.securitylab.ru

Похожие темы