Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

PhantomCore атакует Россию

26/03/24

hack41-Mar-26-2024-11-32-20-8323-AM

Эксперты из департамента Threat Intelligence компании F.A.C.C.T. выявили новую хакерскую группу, получившую название PhantomCore. С января 2024 года эта группа активно атакует российские компании, используя уникальный, ранее неизвестный троян удаленного доступа PhantomRAT.

Атаки PhantomCore начинаются с рассылки фишинговых писем, содержащих защищенные паролем RAR-архивы. Пароль к архивам указан прямо в тексте письма. В архивах злоумышленники эксплуатируют новую вариацию уязвимости WinRAR (CVE-2023-38831), где вместо ZIP используются RAR-архивы, пишет Securitylab.

e71uhm5ja81fu47prbqtnqu56i55ed2f

Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. При попытке открыть PDF запускается вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT. Группа также использует .NET-приложения, с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.

Пока мотивы атак точно не установлены, но, судя по целям и методам, вероятнее всего, речь идет о кибершпионаже. Интересно, что один из файлов, предназначавшийся для тестирования сборки PhantomRAT, был впервые загружен на VirusTotal 26 февраля 2024 года, из Киева. Еще два тестовых образца уникального вредоносного ПО PhantomCore также были выложены из Украины.

Согласно прогнозу F.A.C.C.T., основными киберугрозами для российских компаний и госструктур в 2024 году станут вымогатели, кибершпионы, диверсанты и хактивисты, охотящиеся за базами данных.

Подробности о первых атаках новой группы, а также индикаторы компрометации приведены в блоге компании.

Темы:УгрозыRAT-трояныF.A.C.C.T.
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Attack Surface Management: с чего начинать управление уязвимостями
    Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
    Attack Surface Management – относительно молодой продукт, он появился в 2021 г. В его основе лежит более ранняя разработка инженеров F.A.C.C.T. – граф сетевой инфраструктуры, который показывает связь между доменами, IP-адресами, сервер-сертификатами, злоумышленниками, ВПО и другими цифровыми сущностями в глобальном Интернете.
  • Cyber Defence Center: лучше и эффективнее традиционных SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты и ведут проактивный поиск киберугроз в инфраструктуре
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...