F.A.C.C.T. обнаружила атаки новой группы кибершпионов

F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, публикует исследование о новой группе кибершпионов PhantomCore, использующей в своих атаках одноименный троян удаленного доступа. Злоумышленники активно атакуют российские компании с января 2024 года. 

Первоначальным вектором атаки PhantomCore на российские компании являются фишинговые письма, содержащие защищенные паролем RAR-архивы (сам пароль содержится в теле письма). Причем атакующие эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR.

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Кроме того, группа использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.

Хотя на текущий момент мотивация проведенных атак окончательно не установлена, судя по целям и форматам рассылок, вероятнее всего, речь идет о кибершпионаже. Любопытно, что один из файлов, предназначавшийся для тестирования  сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 года из Киева. Еще два тестовых образца уникального вредоносного ПО, которое используется группировкой PhantomCore, также были загружены из Украины.

Согласно прогнозам, опубликованным в ежегодном отчете компании F.A.C.C.T. «Киберпреступность в России и СНГ 2023–2024 гг.», основными киберугрозами, с которыми столкнутся российские компании и госучреждения в 2024 году станут вымогатели, кибершпионы и диверсанты, а также хактивисты, охотящиеся за базами данных отечественных компаний.

Ранее ИБ-компания «Код Безопасности» обнаружила рост числа хактивистских кибератак на сотрудников крупных компаний госсектора и оборонно-промышленного комплекса (ОПК), в ходе которых злоумышленники от имени сотрудников ФСБ или МВД вынуждают жертв переводить свои деньги мошенникам или поджигать военкоматы и совершать другие преступления. Данный тип атак получил название FakeBoss. 

В прошлом году хактивисты из SiegedSec взломали ядерную лабораторию в США и опубликовала в сети украденные данные. Лаборатория представляет собой цент ядерных исследований, в котором работает более 5700 специалистов, а главное, на его территории расположено 50 экспериментальных ядерных реакторов.

В список украденных данных входят ФИО, даты рождения, адреса электронной почты, номера телефонов и социального страхования, физические адреса и другое.