F.A.C.C.T. о новой группе кибершпионов – PhantomCore

Компания F.A.C.C.T. обнародовала данные о новой группе кибершпионов PhantomCore, использующей в атаках одноименный троян удаленного доступа, включая подробности первых атак новой группы и индикаторы компрометации.

Обнаруженная специалистами департамента Threat Intelligence группа кибершпионов с января 2024 г. активно атакует российские компании. Группа была названа PhantomCore, поскольку использует ранее не описанный троян удаленного доступа – PhantomRAT.

Первоначальный вектор атаки PhantomCore на российские компании – фишинговые письма, содержащие защищенные паролем RAR-архивы (сам пароль содержится в теле письма). Причем атакующие эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR – CVE-2023-38831, в которой вместо ZIP-архивов используются RAR.

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа вместо него будет запущен вредоносный исполняемый файл. Финальная обнаруженная стадия – троян удаленного доступа PhantomRAT. Кроме того, группа использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment), чтобы затруднить обнаружение на зараженной системе.

На текущий момент, отмечают в F.A.C.C.T., мотивация проведенных атак окончательно не установлена, но судя по целям и форматам рассылок, вероятнее всего, речь идет о кибершпионаже.