Эксперты департамента киберразведки компании F6 представили итоги исследования, посвящённого новым атакам группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной активности группы, относящейся к 2022 году. Специалисты F6 выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
PhantomCore – группировка, атакующая российские и белорусские компании. Впервые специалисты F6 обнаружили её в 2024 году. Отличительная черта PhantomCore – использование вредоносного программного обеспечения (ВПО) собственной разработки. Судя по количеству таких самописных программ, а также по числу атак, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за появлением новых уязвимостей.
В ходе исследования эксперты выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
При изучении инфраструктуры PhantomCore специалисты департамента Threat Intelligence F6 смогли найти уникальные пересечения в регистрационных данных доменов. Это позволило выявить дополнительные домены и связанные с ними семплы, датируемые 2022 годом, которые удалось атрибутировать группе Phantomcore.
Как выяснили специалисты F6, в 2022 году PhantomCore распространяла дроппер VALIDATOR.msi с вредоносным ПО StatRAT и исполняемым файлом-приманкой, который мимикрировал под якобы легитимное программное обеспечение «Валидатор 1.0» для проверки сети на соответствие определенному федеральному закону. Троян удалённого доступа StatRAT, помимо обработки различных команд от сервера, имел модуль стилера, а также функциональные возможности для вайпа (повреждения и уничтожения) файлов в зараженной системе.
В 2025 году группа PhantomCore продолжила развивать свои инструменты и переписывать их на различные языки программирования. 5 мая с помощью решения F6 Business Email Protection были обнаружены и заблокированы вредоносные рассылки, которые были атрибутированы PhantomCore. Письма с темой «Документы на рассмотрение (повторно)» были отправлены с трех различных доменов, вероятно, скомпрометированных. Среди адресатов этих писем – организации из сфер промышленности, энергетики, ЖКХ.
Письма содержали вложенный исполняемый файл в виде архива с именем Документы_на_рассмотрение.zip. В качестве приманки использовался файл Сопроводительное_письмо.pdf, представлявший собой договор на поставку материалов и оборудования между двумя коммерческими компаниями. Исполняемый файл был классифицирован специалистами F6 как обновленная версия бэкдора группы PhantomCore, получившая название PhantomeCore.GreqBackdoor v.2.
Подробности, индикаторы компрометации – в новом блоге на сайте F6.
