Поделиться
Кибергруппа Head Mare использует новые инструменты в атаках на российские и белорусские предприятия
Летом 2025 г. «Лаборатория Касперского» обнаружила новую волну целевых атак группы Head Mare на российские и белорусские компании. Кибергруппа продолжает совершенствовать набор своих инструментов для получения первоначального доступа и закрепления в системе. В новых атаках использовалась цепочка из нескольких бэкдоров, а не один бэкдор, как в марте. Речь идёт о зловредах PhantomRemote, PhantomCSLoader и PhantomSAgent. Помимо этого, в некоторых случаях злоумышленники также устанавливали SSH-туннели для удалённого доступа к скомпрометированной инфраструктуре. Вероятно, атакующие пытались обойти средства защиты, рассчитывая на то, что в случае обнаружения одного бэкдора в системе останутся остальные.
Первый этап заражения. Атаки по-прежнему начинаются с рассылки вредоносных писем. На этот раз они содержали вложение с бэкдором PhantomRemote, позволяющим удалённо выполнять команды на заражённом устройстве.
Второй этап заражения. Злоумышленники заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров — PhantomCSLoader и PhantomSAgent — для закрепления в системе. Эти зловреды написаны на разных языках программирования, используют схожую модель взаимодействия с командно-контрольным сервером, но различаются по внутренним механизмам работы. По всей видимости, расчёт был на то, что в случае выявления одного из компонентов другой продолжит функционировать в системе.
Решения «Лаборатории Касперского» детектируют эту угрозу и защищают от неё.
Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют: регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть; использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами; применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности; обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например, на платформе Kaspersky Automated Security Awareness Platform; предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например, с помощью решений Threat Intelligence.
Поделиться
Короткая ссылка
