Эволюция атак Phantomcore: новые методы угроз целевым организациям
Источник: www.f6.ru
Хакерская группировка Phantomcore, нацеленная на российские и белорусские организации, продолжает развивать свои методы атак и совершенствовать используемые вредоносные инструменты. Последние события показывают, что группа не намерена снижать активность, а наоборот — активно внедряет новые технологии для повышения эффективности реализации кибершпионских и финансово мотивированных операций.
Недавняя атака через вредоносные электронные рассылки
5 мая 2025 года эксперты по кибербезопасности выявили новую волну атак с использованием вредоносных email-рассылок, которые были оперативно заблокированы системой защиты деловой почты F6. Особенностью этой кампании стало применение исполняемых файлов, замаскированных под ZIP-архивы и отправленных со взломанных доменов.
- Вредоносное вложение включало исполняемый файл с именем «Documents_nu_racons», который при запуске загружал программу для чтения PDF-файлов и вредоносное ПО Phantomecore.greqbackdoor v.2.
- Данный backdoor взаимодействовал с сервером управления (C2), расположенным по адресу
195.58.54.39:80. - Отмечена тенденция упрощения метода доставки: вредоносные программы теперь включаются в исполняемые файлы без лишних уровней упаковки, что способствует снижению шансов обнаружения.
Развитие вредоносного ПО и тактики Phantomcore
Phantomcore демонстрирует последовательную эволюцию своих эксплойтов и вредоносных инструментов. Если ранее группа использовала сложную упаковку в формате LNK-файлов, вложенных в ZIP, то сейчас – прямое использование исполняемых файлов.
Интересно, что Phantomecore.greqbackdoor v.2 представляет собой обновлённую версию вредоносного ПО, которая адаптирована под новые уязвимости и улучшает скрытность коммуникаций с сервером управления.
Кроме того, в 2024 году был выявлен ещё один вариант вредоносной программы – «Semple Phantomrat», который выполняет функции дроппера и инициирует запуск дополнительных вредоносных компонентов семейства STATRAT.
- STATRAT – это RAT (Remote Access Trojan), который обеспечивает удалённый доступ, управление системными данными и выполнение скрытых операций с файлами.
- Механизм таймера позволяет Periodically поддерживать связь с инфрастуктурой C2, что существенно повышает устойчивость вредоносного ПО.
Организационная структура и инфраструктура атак
Координация действий Phantomcore при регистрации доменов и использовании мультиресурсных серверов C2 свидетельствует о слаженной и устойчивой операционной структуре группировки.
Выявленные серверы управления не только обеспечивают гибкость и стабильность проведения атак, но и создают серьёзные вызовы для систем киберзащиты российских и белорусских организаций.
Перспективы развития угрозы
Учитывая высокую сложность инфраструктуры, а также разнообразие используемых вредоносных программ, эксперты прогнозируют дальнейшее наращивание возможностей Phantomcore. Особенно опасным является их потенциал в разработке эксплойтов и методов обхода средств защиты, что позволило бы им дольше оставаться незамеченными и продолжать свои атаки.
Таким образом, Phantomcore демонстрирует пример динамично развивающейся киберугрозы с высокой степенью адаптивности и технической изощренности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
