19/08/25
С мая по июль специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили в российских организациях более 180 зараженных систем. Вредоносная активность исходила от киберпреступной группы PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру. Эксперты PT ESC TI идентифицировали жертв и уведомили их о киберугрозах до наступления недопустимых событий.
В числе скомпрометированных организаций оказались госучреждения, научно-исследовательские институты, предприятия оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компании. Первое заражение датируется 12 мая, наибольшей интенсивности кибератаки достигли в июне, при этом 56% всех заражений пришлось на 30 июня. В среднем группировка находилась в скомпрометированной сети 24 дня, максимально — 78 дней. Как минимум 49 хостов до сих пор остаются под контролем злоумышленников.
По данным Positive Technologies, APT-группировка PhantomCore активна с начала 2024 года и нацелена на получение доступа к конфиденциальной информации. Кибератаки отличаются значительным масштабом и избирательностью: в числе жертв российские организации из ключевых отраслей экономики и сферы государственного управления. PhantomCore располагает внушительным наступательным арсеналом: от популярных опенсорсных утилит и обновленных версий известных инструментов до ранее не встречавшихся образцов собственной разработки. Такое разнообразие ВПО во многом помогает хакерам долгое время оставаться незамеченными в зараженных сетях. Также вредоносная инфраструктура группировки строго сегментирована по функциям и классам инструментов, которыми она управляет.
География вредоносной инфраструктуры PhantomCore характеризуется тем, что почти половина серверов (48%) расположены в России, преимущественно в сетях трех российских провайдеров. Доля зарубежной инфраструктуры составляет 52% и практически равномерно распределена между Финляндией, Францией, Нидерландами, США, Германией, Гонконгом, Молдавией и Польшей. При этом 33% всей инфраструктуры сосредоточены в сетях канадского провайдера.
«Мы предполагаем, что основной всплеск рассматриваемой кампании кибершпионажа произошел в результате эволюции вредоносного арсенала PhantomCore. Вероятно, до конца апреля злоумышленники подготавливали новую серию атак, работая преимущественно над инструментарием, — отмечает Виктор Казаков, ведущий специалист группы киберразведки PT ESC TI. — Кроме того, нам удалось обнаружить новое ответвление группировки, не входящее в основное звено и состоящее из низкоквалифицированных специалистов. Предположительно его организовал один из членов основной PhantomCore для наращивания киберпреступной активности и расширения поверхности атаки».
Экспертный центр безопасности Positive Technologies прогнозирует сохранение высокого уровня опасности киберугроз, исходящих от PhantomCore, для российских организаций. PT ESC TI продолжает отслеживать активность APT-группировки, своевременно предупреждать жертв о готовящихся кибератаках и поставлять уникальные данные киберразведки пользователям продуктов Positive Technologies.
