Летом 2025 года «Лаборатория Касперского» обнаружила новую волну целевых атак группы Head Mare на российские и белорусские компании. Кибергруппа продолжает совершенствовать набор своих инструментов для получения первоначального доступа и закрепления в системе. В новых атаках использовалась цепочка из нескольких бэкдоров, а не один бэкдор, как в марте. Речь идёт о зловредах PhantomRemote, PhantomCSLoader и PhantomSAgent.
Помимо этого, в некоторых случаях злоумышленники также устанавливали SSH-туннели для удалённого доступа к скомпрометированной инфраструктуре. Вероятно, атакующие пытались обойти средства защиты, рассчитывая на то, что в случае обнаружения одного бэкдора в системе останутся остальные.
Первый этап заражения. Атаки по-прежнему начинаются с рассылки вредоносных писем. На этот раз они содержали вложение с бэкдором PhantomRemote, позволяющим удалённо выполнять команды на заражённом устройстве.
Второй этап заражения. Злоумышленники заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров — PhantomCSLoader и PhantomSAgent — для закрепления в системе. Эти зловреды написаны на разных языках программирования, используют схожую модель взаимодействия с командно-контрольным сервером, но различаются по внутренним механизмам работы. По всей видимости, расчёт был на то, что в случае выявления одного из компонентов другой продолжит функционировать в системе.
Решения «Лаборатории Касперского» детектируют эту угрозу и защищают от неё. Подробнее — в материале на https://securelist.ru/head-mare-new-phantom-backdoors-and-ssh-tunneling/113473/.
Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют: