Center for Finance
Light Weight
- Депозит
- $-184
В прицеле Facct новая кибершпионская АРТ PhantomCore, которая атакует российские компании начиная с января 2024 года. Группа отслеживается под таким названием из-за одноименного уникального, ранее не документированного, трояна удаленного доступа PhantomRAT. В качестве первоначального вектора атаки PhantomCore на российские компании выступают фишинговые письма с защищенным паролем RAR-архивом (сам пароль содержится в теле письма). Причем атакующие эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR. Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа, вместо него запускается вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT, который после доставки и запуска на ПК отправляет запросы к С2 для получения команд. PhantomRAT – это троян, основанный на .NET., реализующий функционал: загрузку файлов с C2-сервера, выгрузку файлов со скомпрометированного хоста на C2-сервер, а также выполнение команд в интерпретаторе командной строки cmd.exe. Данный троян использует протокол RSocket для коммуникации с C2. Кроме того, группа использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment), для затруднения обнаружения на зараженной системе. В данном типе приложений, .NET-библиотеки (модули), содержатся в теле файла, в сериализованном виде. Несмотря на то, что на текущий момент мотивация атак окончательно не установлена, судя по виктимологии и форматам рассылок, вероятнее всего, речь идет о кибершпионаже. При этом один из файлов для тестирования сборки PhantomRAT был впервые загружен на VirusTotal 26 февраля 2024 года из Киева, а еще два тестовых образца уникального вредоносного ПО - из Украины. Подробности о первых атаках новой группы PhantomCore, а также индикаторы компрометации приведены в блоге.