Эволюция призрака: новые атаки и инструменты кибершпионов PhantomCore

Весной этого года эксперты F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, атакующих российские организации с начала 2024 года.

Группировка получила своё название по имени их уникального трояна удаленного доступа PhantomRAT.За относительно короткое время, прошедшее с момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL, злоумышленники успели переписать свой троян удаленного доступа  PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами; разработали PhantomDL 3 версии (v.3), а затем выпустили еще одну версию (v.4), которую частично дополнили возможностями PhantomRAT.С использованием этих инструментов группа совершила ряд новых атак,  нацеленных на различные российские объекты: приборостроительный завод, завод полимерных материалов, механический завод, технопарк, лизинговую, нефтегазовую и IT-компанию.Анализируя эти атаки, стоит отметить одну особенность: злоумышленники предварительно компрометируют сторонние организации и используют их для проведения атак на основные цели, в частности: рассылают вредоносные письма со скомпрометированных почтовых адресов, а также размещают вредоносные программы в инфраструктуре взломанных организаций.Такие «организации-плацдармы» атакующие получили, скомпрометировав производителя бытовой и промышленной химии, разработчика ПО, разработчика и интегратора медицинских технологий, дистрибьютора продукции металлургического завода, строительную компанию.В новом блоге специалисты F.A.C.C.T.

описывают новые активности и кибератаки группы PhantomCore, большая часть которой была обнаружена и заблокирована с помощью системы F.A.C.C.T.