Весной 2024 года эксперты компании F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, которые начали атаковать российские компании с начала этого года. Группировка получила свое название по имени их уникального трояна удаленного доступа PhantomRAT.
С момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL злоумышленники успели переписать свой троян удаленного доступа PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами. Эти инструменты позволили группировке совершить ряд атак, нацеленных на различные российские объекты: приборостроительный завод, завод полимерных материалов, механический завод, технопарк, лизинговую, нефтегазовую и IT-компанию.
При анализе этих атак была отмечена одна особенность: злоумышленники предварительно компрометируют сторонние организации и используют их для проведения атак на основные цели, в частности: рассылают вредоносные письма со скомпрометированных почтовых адресов, а также размещают вредоносные программы в инфраструктуре взломанных организаций.
Такие «организации-плацдармы» атакующие получили, скомпрометировав производителя бытовой и промышленной химии, разработчика ПО, разработчика и интегратора медицинских технологий, дистрибьютора продукции металлургического завода, строительную компанию.
Заблокированное системой F.A.C.C.T. Managed XDR письмо из первой рассылки PhantomCore от 11 июня, направленное в адрес ИТ-организации:
В нашем блоге эксперты F.A.C.C.T. описывают новые активности и кибератаки группы PhantomCore, большая часть которой была обнаружена и заблокирована с помощью системы F.A.C.C.T. Managed XDR. Другую часть активности удалось обнаружить благодаря внутренним правилам на инфраструктуру атакующих и анализу публичных песочниц.
Как защититься бизнесу?
Для предотвращения и защиты от потенциальных кибератак группы PhantomCore, специалисты F.A.C.C.T. Threat Intelligence рекомендуют:
- Обновлять программное обеспечение, установленное на имеющихся системах. Таким образом, при использовании WinRAR версий 6.23 и выше уязвимость CVE-2023-38831 не будет проэксплуатирована, и вместо запуска исполняемого файла будет открыт легитимный PDF-документ.
- Отслеживать задачи, созданные в планировщике задач Windows.
- Регулярно обучать сотрудников, чтобы сделать их менее подверженными фишингу во всех его формах.
- Блокировать выполнение макросов, полученных из подозрительных файлов.
- Использовать данные F.A.C.C.T. Threat Intelligence для обнаружения и проактивного поиска угроз.
- Использовать средства защиты электронной почты, чтобы предотвратить первоначальный взлом. Мы рекомендуем узнать, как F.A.C.C.T. Business Email Protection может противостоять такого рода атакам.
- Использовать средства выявления и устранения киберугроз. Рекомендуем узнать, какие возможности предоставляет решение F.A.C.C.T. Managed XDR для обнаружения угроз и реагирования на них.
Мы надеемся, что собранные в новом блоге технические описания атак, индикаторы компрометации, а также наши рекомендации помогут российским компаниям, которые находятся в группе риска, провести дополнительные мероприятия для предотвращения потенциального ущерба от возможных кибератак PhantomCore.
Для того, чтобы оставаться в курсе актуальных новостей в сфере информационной безопасности, подписывайтесь на канал “Кибербез по фактам”, а также на наш остросюжетный телеграм-канал.