Весной этого года эксперты F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, атакующих российские организации с начала 2024 года. Группировка получила своё название по имени их уникального трояна удаленного доступа PhantomRAT.
За относительно короткое время, прошедшее с момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL, злоумышленники успели переписать свой троян удаленного доступа PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами; разработали PhantomDL 3 версии (v.3), а затем выпустили еще одну версию (v.4), которую частично дополнили возможностями PhantomRAT.
С использованием этих инструментов группа совершила ряд новых атак, нацеленных на различные российские объекты: приборостроительный завод, завод полимерных материалов, механический завод, технопарк, лизинговую, нефтегазовую и IT-компанию.
Анализируя эти атаки, стоит отметить одну особенность: злоумышленники предварительно компрометируют сторонние организации и используют их для проведения атак на основные цели, в частности: рассылают вредоносные письма со скомпрометированных почтовых адресов, а также размещают вредоносные программы в инфраструктуре взломанных организаций.
Такие «организации-плацдармы» атакующие получили, скомпрометировав производителя бытовой и промышленной химии, разработчика ПО, разработчика и интегратора медицинских технологий, дистрибьютора продукции металлургического завода, строительную компанию.
В новом блоге специалисты F.A.C.C.T. описывают новые активности и кибератаки группы PhantomCore, большая часть которой была обнаружена и заблокирована с помощью системы F.A.C.C.T. Managed XDR. Другую часть активности удалось обнаружить благодаря внутренним правилам на инфраструктуру атакующих и анализу публичных песочниц.
Хронология выявления нашими специалистами вредоносных индикаторов и рассылок, связанных c группировкой PhantomCore, выглядит следующим образом:
3 мая — зарегистрирована инфраструктура атакующих;
8 мая — обнаружена версия PhantomRAT на Golang (v.2), взаимодействующая с некоторыми доменами, зарегистрированными 3 мая;
15 мая — обнаружена обновленная версия PhantomRAT на Golang (v.3) с расширенными функциональными возможностями;
7 июня — обнаружен загрузчик PhantomDL 3 версии;
11 июня — заблокирована первая рассылка группы PhantomCore в адрес ИТ-организации с использованием семпла, раскрытого 7 июня;
2 июля — заблокирована вторая рассылка группы PhantomCore в адрес той же ИТ-организации;
4 июля — найдены два вредоносных архива группы PhantomCore;
5 июля – заблокирована третья рассылка в адрес той же ИТ-организации, во вложении — архив, обнаруженный 4 июля;
8 июля — выявлены рассылки в адрес технопарка и в адрес производителя полимерных материалов;
9 июля — выявлена первая рассылка в адрес лизинговой организации;
10 июля — раскрыта вторая рассылка, целями которой стали две лизинговые организации;
11 июля — обнаружено такое же письмо, как рассылалось 10 июля, но получатель — механический завод.
11 июля – выявлена рассылка в адрес приборостроительного завода;
16 июля — на Any.Run загружено письмо, вероятно сотрудником ИБ-отдела нефтегазовой компании, в которой обсуждается рассылка, проводимая в адрес этой компании 4 июля, в качестве вложения использовался архив, обнаруженный 4 июля на VT.
Мы надеемся, что собранные в новом блоге техническое описание новых атак, индикаторы компрометации, а также наши рекомендации помогут российским компаниям, которые находятся в группе риска, провести дополнительные мероприятия для предотвращения потенциального ущерба от возможных кибератак PhantomCore.
