2024-05-14 14:27:01
Исследователи
F.A.C.C.T. задетектили новый вредоносный загрузчик
PhantomDL (PhantomGoDownloader), который, вероятно, имеет тесные связи с группой кибершпионажа
PhantomCore и используется с марта 2024 года.
PhantomCore работает по
России с января 2024 года, нацеливаясь на компании в сфере
ВПК РФ.
Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками.
Основной инструмент APT - троян удаленного доступа
PhantomRAT.
В конце марта исследователям удалось обнаружили на платформе
VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл.
Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.
Злоумышленники задецствовали вариацию CVE-2023-38831 в
WinRAR, в которой вместо ZIP-архивов используются RAR-архивы.
Если пользователь с версией
WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.
В случае, если версия
WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.
Исполняемый файл является загрузчиком, написанным на языке
Go. Для его обфускации, предположительно, используется утилита
Garble.
Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов.
Это позволило идентифицировать название проекта
D:\github\phantomDL и присвоить этому загрузчику имя
PhantomDL.
Останавливаться на технических аспектах и атрибуции загрузчика
PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в
блоге.
Но, очевидно, что
PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению.
Если на ранних этапах злоумышленники использовали достаточно простой загрузчик
PhantomCore.Downloader, то уже спустя месяц перешли к более сложному -
PhantomDL.
При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.
5.3K views11:27