PHANTOMPULSE: RAT для криптосектора скрывает C2 в Ethereum

PHANTOMPULSE: sophisticated RAT targeting crypto sector and using Ethereum blockchain for C2

PHANTOMPULSE — это сложная trojan-программа типа RAT, которая представляет значительную угрозу для сектора криптовалют. По данным анализа, вредоносное ПО распространяется через хакерскую группировку REF6598 и демонстрирует ряд продвинутых техник, указывающих на высокоорганизованного злоумышленника. Исследователи также допускают связь операции с северокорейскими кибергруппировками, включая Lazarus и BlueNoroff.

Как работает PHANTOMPULSE

Ключевая особенность PHANTOMPULSE — необычный механизм связи с C2, основанный на транзакциях блокчейна Ethereum. Такой подход не только усложняет анализ инфраструктуры управления, но и создает дополнительные трудности для защитников. При этом механизм C2 не предусматривает проверку отправителя, что теоретически открывает возможность для организации sinkhole со стороны специалистов по кибербезопасности.

Цепочка выполнения вредоносной программы начинается с функции оркестровки, которая хеширует имена пользователя и компьютера, чтобы быстро завершить работу, если среда похожа на песочницу. Кроме того, implant обладает механизмом самовосстановления: проверка выполняется каждые десять итераций, чтобы сохранить foothold даже при прерывании процесса.

Техники уклонения и повышения привилегий

PHANTOMPULSE применяет сразу несколько методов, чтобы скрываться от средств защиты и повышать устойчивость в системе. Среди них — обход UAC с использованием техники schuac, которая позволяет повышать привилегии без заметных признаков для пользователя.

ВПО также использует:

  • три различных метода code injection в процессы;
  • direct system calls и API wrappers;
  • опору на PEB для оптимизации разрешения функций;
  • скрытие от AMSI, WLDP и ETW через стратегию общих hardware breakpoints;
  • сложные механизмы перехвата вызовов API с подменой возвращаемых значений без изменения базового кода.

Именно такая реализация делает традиционные сигнатурные методы обнаружения значительно менее эффективными. По сути, PHANTOMPULSE ориентирован не только на заражение, но и на длительное незаметное присутствие в системе.

Модульность, отладочные техники и признаки AI-разработки

Отдельного внимания заслуживают методы внедрения, которые использует этот RAT. В частности, в отчете упоминаются PhantomInject для модульного stamping и DbgNexum для управления выполнением через Windows Debug API. Эти подходы демонстрируют высокий уровень технической зрелости и развитую обфускацию.

Аналитики также отмечают признаки разработки с помощью AI: подробное логирование и структурированные operational messages выглядят как результат автоматизированных практик программирования. Такой стиль разработки может ускорять выпуск новых сборок и упрощать масштабирование атаки.

Функции слежки и приоритизация целей

PHANTOMPULSE включает не только механизмы закрепления и обхода защит, но и классические функции spyware. RAT содержит keylogger и способен делать screenshots, что усиливает его потенциал для кражи учетных данных и наблюдения за действиями пользователей.

Кроме того, вредоносное ПО систематически мониторит систему на наличие high-value applications, чтобы операторы могли адаптировать последующие действия в зависимости от обнаруженного программного окружения. Для криптовалютного сектора это особенно опасно: подобная разведка помогает атакующим выбирать наиболее ценные цели — от кошельков до рабочих станций сотрудников.

Почему это важно для crypto companies

Общее поведение PHANTOMPULSE указывает на зрелую и активно развивающуюся операцию. Использование blockchain для решения задач C2 перекликается со стратегиями, которые часто приписывают группам, связанным с КНДР. Это подтверждает, что цель атаки — именно платформа и инфраструктура криптовалютного сектора.

Эксперты считают, что организациям в этой сфере следует усилить защиту по нескольким направлениям:

  • внедрить поведенческое обнаружение;
  • наладить проактивный hunting по индикаторам PHANTOMPULSE;
  • отслеживать подозрительные blockchain transactions, связанные с C2;
  • проверять попытки обхода UAC и скрытого process injection;
  • контролировать появление признаков foothold и самовосстановления вредоносного ПО.

Вывод: PHANTOMPULSE — это не просто очередной RAT, а технически сложная угроза, созданная для скрытного проникновения, устойчивого закрепления и целевого шпионажа в криптовалютной среде. Его архитектура показывает, насколько быстро злоумышленники адаптируют современные методы, включая blockchain и AI-подобные практики разработки, чтобы обходить привычные механизмы защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: