Новости Фантомные хакеры с украинским следом: PhantomCore атакует Россию

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.125
Репутация
63.040
Реакции
277.447
RUB
0
Следы уникального трояна группировки ведут в Киев.

image



Эксперты из департамента Threat Intelligence компании F.A.C.C.T. выявили новую хакерскую группу, получившую название PhantomCore. С января 2024 года эта группа активно атакует российские компании, используя уникальный, ранее неизвестный троян удаленного доступа PhantomRAT.



Атаки PhantomCore начинаются с рассылки фишинговых писем, содержащих защищенные паролем RAR-архивы. Пароль к архивам указан прямо в тексте письма. В архивах злоумышленники эксплуатируют новую вариацию уязвимости WinRAR (CVE-2023-38831), где вместо ZIP используются RAR-архивы.

e71uhm5ja81fu47prbqtnqu56i55ed2f.png


Образец фишингового письма, отправленного группой PhantomCore

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. При попытке открыть PDF запускается вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Группа также использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.

Пока мотивы атак точно не установлены, но, судя по целям и методам, вероятнее всего, речь идет о кибершпионаже. Интересно, что один из файлов, предназначавшийся для тестирования сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 года, из Киева. Еще два тестовых образца уникального вредоносного ПО PhantomCore также были выложены из Украины.

Согласно прогнозу F.A.C.C.T. , основными киберугрозами для российских компаний и госструктур в 2024 году станут вымогатели, кибершпионы, диверсанты и хактивисты, охотящиеся за базами данных.

Подробности о первых атаках новой группы, а также индикаторы компрометации приведены в блоге компании.







 
Сверху Снизу