Спецпроекты

Безопасность Пользователю Стратегия безопасности

Эксперты F.A.C.C.T. обнаружили атаки новой группы кибершпионов

F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, публикует исследование о новой группе кибершпионов PhantomCore, использующей в своих атаках одноименный троян удаленного доступа.

Специалисты департамента Threat Intelligence F.A.C.C.T. обнаружили новую группу кибершпионов, с января 2024 г. активно атакующую российские компании. Группа была названа PhantomCore, по причине того, что злоумышленники используют уникальный, ранее не описанный троян удаленного доступа — PhantomRAT. Об этом CNews сообщили представители F.A.C.C.T..

Первоначальным вектором атаки PhantomCore на российские компании являются фишинговые письма, содержащие защищенные паролем RAR-архивы (сам пароль содержится в теле письма). Причем атакующие эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR.

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Кроме того, группа использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.

Хотя на текущий момент мотивация проведенных атак окончательно не установлена, судя по целям и форматам рассылок, вероятнее всего, речь идет о кибершпионаже. Один из файлов, предназначавшийся для тестирования сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 г., из Киева. Еще два тестовых образца уникального вредоносного ПО, которое используется группировкой PhantomCore, также были загружены из Украины.

Согласно прогнозам, опубликованным в ежегодном отчете компании F.A.C.C.T. «Киберпреступность в России и СНГ 2023–2024 гг.», основными киберугрозами, с которыми столкнутся российские компании и госучреждения в 2024 г., станут вымогатели, кибершпионы и диверсанты, а также хактивисты, охотящиеся за базами данных отечественных компаний.

***

F.A.С.С.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.С.С.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB. Решения компании обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.С.С.T. входят в реестр отечественного ПО.

Короткая ссылка