PHANTOMPULSE: RAT для криптосектора скрывает C2 в Ethereum
PHANTOMPULSE: sophisticated RAT targeting crypto sector and using Ethereum blockchain for C2
PHANTOMPULSE — это сложная trojan-программа типа RAT, которая представляет значительную угрозу для сектора криптовалют. По данным анализа, вредоносное ПО распространяется через хакерскую группировку REF6598 и демонстрирует ряд продвинутых техник, указывающих на высокоорганизованного злоумышленника. Исследователи также допускают связь операции с северокорейскими кибергруппировками, включая Lazarus и BlueNoroff.
Как работает PHANTOMPULSE
Ключевая особенность PHANTOMPULSE — необычный механизм связи с C2, основанный на транзакциях блокчейна Ethereum. Такой подход не только усложняет анализ инфраструктуры управления, но и создает дополнительные трудности для защитников. При этом механизм C2 не предусматривает проверку отправителя, что теоретически открывает возможность для организации sinkhole со стороны специалистов по кибербезопасности.
Цепочка выполнения вредоносной программы начинается с функции оркестровки, которая хеширует имена пользователя и компьютера, чтобы быстро завершить работу, если среда похожа на песочницу. Кроме того, implant обладает механизмом самовосстановления: проверка выполняется каждые десять итераций, чтобы сохранить foothold даже при прерывании процесса.
Техники уклонения и повышения привилегий
PHANTOMPULSE применяет сразу несколько методов, чтобы скрываться от средств защиты и повышать устойчивость в системе. Среди них — обход UAC с использованием техники schuac, которая позволяет повышать привилегии без заметных признаков для пользователя.
ВПО также использует:
- три различных метода code injection в процессы;
- direct system calls и API wrappers;
- опору на PEB для оптимизации разрешения функций;
- скрытие от AMSI, WLDP и ETW через стратегию общих hardware breakpoints;
- сложные механизмы перехвата вызовов API с подменой возвращаемых значений без изменения базового кода.
Именно такая реализация делает традиционные сигнатурные методы обнаружения значительно менее эффективными. По сути, PHANTOMPULSE ориентирован не только на заражение, но и на длительное незаметное присутствие в системе.
Модульность, отладочные техники и признаки AI-разработки
Отдельного внимания заслуживают методы внедрения, которые использует этот RAT. В частности, в отчете упоминаются PhantomInject для модульного stamping и DbgNexum для управления выполнением через Windows Debug API. Эти подходы демонстрируют высокий уровень технической зрелости и развитую обфускацию.
Аналитики также отмечают признаки разработки с помощью AI: подробное логирование и структурированные operational messages выглядят как результат автоматизированных практик программирования. Такой стиль разработки может ускорять выпуск новых сборок и упрощать масштабирование атаки.
Функции слежки и приоритизация целей
PHANTOMPULSE включает не только механизмы закрепления и обхода защит, но и классические функции spyware. RAT содержит keylogger и способен делать screenshots, что усиливает его потенциал для кражи учетных данных и наблюдения за действиями пользователей.
Кроме того, вредоносное ПО систематически мониторит систему на наличие high-value applications, чтобы операторы могли адаптировать последующие действия в зависимости от обнаруженного программного окружения. Для криптовалютного сектора это особенно опасно: подобная разведка помогает атакующим выбирать наиболее ценные цели — от кошельков до рабочих станций сотрудников.
Почему это важно для crypto companies
Общее поведение PHANTOMPULSE указывает на зрелую и активно развивающуюся операцию. Использование blockchain для решения задач C2 перекликается со стратегиями, которые часто приписывают группам, связанным с КНДР. Это подтверждает, что цель атаки — именно платформа и инфраструктура криптовалютного сектора.
Эксперты считают, что организациям в этой сфере следует усилить защиту по нескольким направлениям:
- внедрить поведенческое обнаружение;
- наладить проактивный hunting по индикаторам PHANTOMPULSE;
- отслеживать подозрительные blockchain transactions, связанные с C2;
- проверять попытки обхода UAC и скрытого process injection;
- контролировать появление признаков foothold и самовосстановления вредоносного ПО.
Вывод: PHANTOMPULSE — это не просто очередной RAT, а технически сложная угроза, созданная для скрытного проникновения, устойчивого закрепления и целевого шпионажа в криптовалютной среде. Его архитектура показывает, насколько быстро злоумышленники адаптируют современные методы, включая blockchain и AI-подобные практики разработки, чтобы обходить привычные механизмы защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



