Начиная с марта 2024, специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (или PhantomGoDownloader). Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых эксперты с высокой долей уверенности атрибутировали PhantomDL к этой же группировке. Подробности — в новом блоге компании.
Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Эксперты полагают, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.
В конце марта специалисты F.A.C.C.T Threat Intelligence обнаружили на платформе VirusTotal исполняемый файл с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» и запароленный RAR-архив «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar». Исследователям удалось сбрутить используемый пароль для архива: «11112222». Оказалось, что архив включает в себя указанный исполняемый файл и легитимный PDF-файл, являющийся документом-приманкой с таким же именем (рис. 1).
Рис. 1 – содержимое архива
Документ-приманка (рис. 2) содержит информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.
Рис. 2 – содержимое документа-приманки
Злоумышленники эксплуатируют вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.
Обнаруженный исполняемый файл является загрузчиком, написанным на языке Go, для обфускации которого, предположительно, использовалась утилита garble.
Помимо этого, 26 марта на VirusTotal был загружен еще один архив с паролем «11112222», содержащий файлы:
«Информация по договору.pdf .exe» — загрузчик на Go с той же хэш-суммой, что и файл «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» (SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c);
«Информация по договору.pdf» – легитимный PDF-файл, являющийся документом-приманкой, содержимое которого представлено на рис. 3, отметим, что само содержимое документа-приманки не соответствует его названию.
Рис. 3 – содержимое документа-приманки
Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика нашим специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило получить название проекта D:githubphantomDL и присвоить этому загрузчику имя PhantomDL.
Подробности атрибуции загрузчика PhantomDL группе PhantomCore и индикаторы компрометации можно найти в в новом блоге экспертов.
Очевидно, что группа PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к наступлению. Если в первых атаках злоумышленники использовали простой загрузчик PhantomCore.Downloader, а специалисты обнаруживали в публичных песочницах тестовые образцы, то уже спустя месяц с момента обнаружения произошел переход к более сложному загрузчику PhantomDL.
Отдельно стоит отметить, что злоумышленники используют качественные документы-приманки, содержимое которых может свидетельствовать о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.
Источник: habr.com