Эволюция призрака: новые атаки и инструменты кибершпионов PhantomCore

Весной этого года эксперты F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, атакующих российские организации с начала 2024 года. Группировка получила своё название по имени их уникального трояна удаленного доступа PhantomRAT.

За относительно короткое время, прошедшее с момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL, злоумышленники успели переписать свой троян удаленного доступа  PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами; разработали PhantomDL 3 версии (v.3), а затем выпустили еще одну версию (v.4), которую частично дополнили возможностями PhantomRAT.

С использованием этих инструментов группа совершила ряд новых атак,  нацеленных на различные российские объекты: приборостроительный завод, завод полимерных материалов, механический завод, технопарк, лизинговую, нефтегазовую и IT-компанию.

Анализируя эти атаки, стоит отметить одну особенность: злоумышленники предварительно компрометируют сторонние организации и используют их для проведения атак на основные цели, в частности: рассылают вредоносные письма со скомпрометированных почтовых адресов, а также размещают вредоносные программы в инфраструктуре взломанных организаций.

Такие «организации-плацдармы» атакующие получили, скомпрометировав производителя бытовой и промышленной химии, разработчика ПО, разработчика и интегратора медицинских технологий, дистрибьютора продукции металлургического завода, строительную компанию.

Заблокированное системой F.A.C.C.T. Managed XDR письмо из первой рассылки PhantomCore от 11 июня, направленное в адрес ИТ-организации

В новом блоге специалисты F.A.C.C.T. описывают новые активности и кибератаки группы PhantomCore, большая часть которой была обнаружена и заблокирована с помощью системы F.A.C.C.T. Managed XDR.  Другую часть активности удалось обнаружить благодаря внутренним правилам на инфраструктуру атакующих и анализу публичных песочниц.

Хронология выявления нашими специалистами вредоносных индикаторов и рассылок, связанных c группировкой PhantomCore, выглядит следующим образом:

3 мая — зарегистрирована инфраструктура атакующих;

8 мая — обнаружена версия PhantomRAT на Golang (v.2), взаимодействующая с некоторыми доменами, зарегистрированными 3 мая;

15 мая — обнаружена обновленная версия PhantomRAT на Golang (v.3) с расширенными функциональными возможностями;

7 июня — обнаружен загрузчик PhantomDL 3 версии;

11 июня — заблокирована первая рассылка группы PhantomCore в адрес ИТ-организации с использованием семпла, раскрытого 7 июня;

2 июля — заблокирована вторая рассылка группы PhantomCore в адрес той же ИТ-организации;

4 июля — найдены два вредоносных архива группы PhantomCore;

5 июля – заблокирована третья рассылка в адрес той же ИТ-организации, во вложении — архив, обнаруженный 4 июля;

8 июля — выявлены рассылки в адрес технопарка и в адрес производителя полимерных материалов;

9 июля — выявлена первая рассылка в адрес лизинговой организации;

10 июля — раскрыта вторая рассылка, целями которой стали две лизинговые организации;

11 июля — обнаружено такое же письмо, как рассылалось 10 июля, но получатель — механический завод.

11 июля – выявлена рассылка в адрес приборостроительного завода;

16 июля — на Any.Run загружено письмо, вероятно сотрудником ИБ-отдела нефтегазовой компании, в которой обсуждается рассылка, проводимая в адрес этой компании 4 июля, в качестве вложения использовался архив, обнаруженный 4 июля на VT.

Мы надеемся, что собранные в новом блоге техническое описание новых атак, индикаторы компрометации, а также наши рекомендации помогут российским компаниям, которые находятся в группе риска,  провести дополнительные мероприятия для предотвращения потенциального ущерба от возможных кибератак PhantomCore.

Источник: habr.com

0 0 голоса
Рейтинг новости
12167
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии