Российские специалисты по кибербезопасности заявили, что обнаружили новую группу кибершпионажа, связанную с Украиной и действующую по крайней мере с января 2024 года.
Группа получила условное название PhantomCore. Эта группа распространяет не описанное ранее вредоносное программное обеспечение "PhantomRAT" для удаленного доступа к компьютерам жертв.
По данным московской компании F.A.C.C.T., в ходе атак на неназванные российские компании хакеры использовали известную уязвимость в файловом архиваторе WinRAR для Windows.
Эта уязвимость, обозначенная как CVE-2023-38831 эксплуатировалась хакерскими группировками с начала 2023 года и после её обнаружения была исправлена.
По данным F.A.C.C.T., тактика, использованная PhantomCore, отличалась от предыдущих атак, эксплуатировавших эту уязвимость. Например, вредоносный код запускался, используя специально созданный RAR-архив, а не ZIP-файл, как это наблюдалось ранее, говорят исследователи.
Для доставки PhantomRAT в компьютеры жертв использовались фишинговые письма, содержащие PDF-файл, замаскированный под контракт, а также вложенный RAR-архив, защищенный паролем, который отправлялся в теле письма. PDF-файлы - распространенная приманка в кибершпионаже.
Исполняемый файл в архиве запускался только в том случае, если PDF-файл был открыт пользователем более ранней версией WinRAR чем 6.23.
На последних этапах атаки уязвимые системы были заражены вирусом PhantomRAT, способным скачивать файлы с командно-контрольного (C2) сервера и загружать файлы со взломанного компьютера на контролируемый хакерами сервер, сообщают специалисты по кибербезопасности.
Информация, которую хакеры могли получить в ходе кампании, включала имя хоста, имя пользователя, локальный IP-адрес и версию операционной системы. Как правило, эта информация может помочь хакерам в проведении дальнейших атак.
В ходе анализа исследователи также обнаружили три тестовых образца PhantomRAT, которые, по данным F.A.C.C.T., загружались из Украины.
"Мы можем с умеренной степенью уверенности утверждать, что злоумышленники, осуществляющие эти атаки, могут находиться на территории Украины", - заявили специалисты F.A.C.C.T.
Исследователи Check Point заявили, что они изучили отчет российской компании F.A.C.C.T. и уязвимость, о которой идет речь, и могут подтвердить, что вредоносная программа работает так, как описано.
По словам Check Point, уязвимости подвержены все системы, работающие на более ранних версий WinRAR чем 6.23. Однако исследователи отметили, что конкретный образец, содержащийся в архиве, предназначен только для 64-битных версий Windows. Не исключено, что существует варианты ПО разработанные как для 32-битных, так и 64-битных систем Windows, которые могут быть использоваться по желанию злоумышленника, считают в Check Point.
Директор Microsoft по стратегии анализа угроз Шеррод Дегриппо (Sherrod DeGrippo) заявил, что компания ранее не наблюдала конкретной активности, которую описывает F.A.C.C.T.
Однако Microsoft и другие компании знакомы с широко распространенной эксплуатацией CVE-2023-38831, в том числе киберпреступниками и спонсируемыми государствами субъектами.
Например, Group-IB первоначально выявила уязвимость после того, как ею воспользовались неизвестные киберпреступники, нацеленные на трейдеров.
Дегриппо также оспорил одно из утверждений F.A.C.C.T. о способе доставки PhantomRAT.
"Что касается использования PhantomCore архивов RAR вместо ZIP-файлов в цепочке атак угроз, то эта техника уже была замечена ранее", - добавил Дегриппо. Например, группа, которую Microsoft отслеживает как Forest Blizzard, атаковала организации по всему миру, используя приманки в RAR-архиве, эксплуатирующие уязвимость CVE-2023-38831".
Исследователи из Cloud Security Alliance также наблюдали, как угрозы, отслеживаемые как DarkPink, использовали архивные файлы RAR.
