СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.08.2025
#Dev#ИБ#Инфра

PhantomCore: кибершпионаж и новые бэкдоры против критически важной инфраструктуры

PhantomCore: кибершпионаж и новые бэкдоры против критически важной инфраструктуры

Источник: www.ptsecurity.com

Группа PhantomCore, впервые выявленная в начале 2024 года, за короткое время превратилась в одну из наиболее организованных угроз, нацеленных на критически важную инфраструктуру России. Согласно отчету, деятельность группы сочетает в себе глубокую сеть технических решений, методичную сегментацию целей и постоянное развитие набора вредоносных инструментов.

Ключевые факты

  • Первая фиксация активности группы — начало 2024 года.
  • В начале мая 2025 года зафиксирована массовая рассылка троянов типа RAT, замаскированных под ZIP-архивы с названием «Documents_for_consideration» и доставленных по электронной почте.
  • Пик активности пришёлся на июнь 2025 года: зафиксировано 181 заражённый хост.
  • Средняя продолжительность компрометации — 24 дня, максимальная — 78 дней.
  • В настоящий момент под контролем группы остаются 49 хостов.

Методы и тактики

PhantomCore демонстрирует системный подход к организации атак и закреплению в сетях жертв. Среди отмеченных методов:

  • сложная сегментация сетевой инфраструктуры, которая функционально распределяет роли используемых инструментов;
  • использование VPS под управлением Ubuntu с расширенными SSH-сервисами;
  • динамическое переключение портов HTTP и HTTPS между открытым и закрытым состояниями для облегчения загрузки вредоносного ПО в стратегические моменты;
  • применение polyglot files и адресов электронной почты легитимных российских компаний для социальной инженерии и доставки вредоносного кода.

Инструментарий группы

Зафиксированные инструменты и утилиты включают как собственную разработку, так и легитимные open-source решения:

  • Phantomrat — бэкдор на базе Go, используемый для получения первоначального доступа и последующего развертывания других модулей;
  • Phantomtaskshell, Phantomproxylite, Meshagent — инструменты для управления, перемещения по сети и удалённого управления;
  • RCLONE — утилита с открытым исходным кодом, используемая группой для эксфильтрации данных.

Доставка и эксфильтрация

Способы доставки включали рассылку поддельных вложений (ZIP с именем «Documents_for_consideration»), polyglot files и использование адресов электронной почты реальных российских организаций для повышения доверия получателей. Для вывода данных из скомпрометированных сетей злоумышленники применяли RCLONE, что облегчает передачу больших объёмов информации на внешние хранилища.

Phantomgoshell: развитие или раскол?

Недавнее появление нового бэкдора Phantomgoshell вызвало вопросы о внутренней динамике группы. По своим возможностям он схож с ранними вариантами — Phantomrshell и Phantomrat — однако имеет отличительные особенности:

  • выполнение команд через командную строку Windows (cmd.exe);
  • реализация методов для изменения реестра;
  • возможность запуска инструментов удалённого рабочего стола, таких как Openor’s Remote Desktop Connection и Anydesk.

Несмотря на совпадающие черты, показатели указывают на вероятность того, что в разработке и использовании новых вариантов вредоносного ПО могут быть задействованы разные хакерские группировки — возможен как эволюционный цикл внутри PhantomCore, так и частичный раскол/сублицензирование инструментов.

«PhantomCore демонстрирует крайне скрытный и методичный подход к кибершпионажу, направленный на поддержание закрепления в скомпрометированных сетях при одновременном развитии их инструментария для обхода обнаружения.»

Выводы и практические рекомендации

Деятельность PhantomCore подчёркивает следующие ключевые угрозы: устойчивое закрепление в сетях, использование легитимных инфраструктур и инструментов для маскировки операций и гибкое развитие вредоносного набора. Для минимизации риска специалисты по кибербезопасности и администраторы инфрастуктуры должны рассмотреть следующие меры:

  • усиление контроля входящей электронной почты и детекция аномалий в вложениях (особенно polyglot files и ZIP-файлы с подозрительными именами);
  • жёсткая сегментация сети и мониторинг межсегментного трафика для своевременного выявления lateral movement;
  • контроль и управление доступом к внешним VPS и проверка необычных соединений на портах HTTP/HTTPS и SSH;
  • отслеживание использования легитимных утилит (например, RCLONE) для эксфильтрации данных и внедрение политик, ограничивающих их запуск;
  • регулярный анализ индикаторов компрометации (IoC) и быстрое реагирование на обнаруженные инциденты — сокращение времени обнаружения и реагирования уменьшает продолжительность закрепления злоумышленников в сети.

С учётом выявленных характеристик и динамики развития инструментов, активность PhantomCore требует повышенного внимания со стороны операторов критической инфраструктуры и профессионального сообщества по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: