Кибергруппа Head Mare использует новые инструменты в атаках на российские и белорусские предприятия

Летом 2025 года «Лаборатория Касперского» обнаружила новую волну целевых атак группы Head Mare на российские и белорусские компании. Кибергруппа продолжает совершенствовать набор своих инструментов для получения первоначального доступа и закрепления в системе. В новых атаках использовалась цепочка из нескольких бэкдоров, а не один бэкдор, как в марте. Речь идёт о зловредах PhantomRemote, PhantomCSLoader и PhantomSAgent.

Помимо этого, в некоторых случаях злоумышленники также устанавливали SSH-туннели для удалённого доступа к скомпрометированной инфраструктуре. Вероятно, атакующие пытались обойти средства защиты, рассчитывая на то, что в случае обнаружения одного бэкдора в системе останутся остальные.

Первый этап заражения. Атаки по-прежнему начинаются с рассылки вредоносных писем. На этот раз они содержали вложение с бэкдором PhantomRemote, позволяющим удалённо выполнять команды на заражённом устройстве.

Второй этап заражения. Злоумышленники заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров — PhantomCSLoader и PhantomSAgent — для закрепления в системе. Эти зловреды написаны на разных языках программирования, используют схожую модель взаимодействия с командно-контрольным сервером, но различаются по внутренним механизмам работы. По всей видимости, расчёт был на то, что в случае выявления одного из компонентов другой продолжит функционировать в системе.

Решения «Лаборатории Касперского» детектируют эту угрозу и защищают от неё. Подробнее — в материале на https://securelist.ru/head-mare-new-phantom-backdoors-and-ssh-tunneling/113473/.

Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
• использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами;
• применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
• обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформе Kaspersky Automated Security Awareness Platform;
• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений Threat Intelligence.