В конце июня — начале июля специалисты зафиксировали серию целенаправленных фишинговых рассылок с вредоносными вложениями, в результате которых ряду клиентов был доставлен бэкдор PhantomRemote. Атаки характеризуются сложной, многоуровневой тактикой и использованием средств обфускации, что затрудняет обнаружение и реагирование.
Ключевые наблюдения
- Первичный вектор — целевой фишинг с вложениями, соотносимый с техникой MITRE ATT&CK T1566.001 (Spearphishing Attachment).
- Для маскировки вредоносных файлов применялся polyglot file, комбинирующий несколько форматов без потери функциональности.
- Главный реализованный инструмент — бэкдор PhantomRemote (Visual C++), обладающий возможностями удалённого выполнения команд; в цепочке также задействованы PhantomCSLoader (C#), PhantomPSUpload (PowerShell-скрипты) и экземпляры PhantomSAgent.
- После запуска осуществлялся сбор информации о системе и сетевых конфигурациях, связанный с техникой MITRE ATT&CK T1016 (System Network Configuration Discovery).
- Для поддержания доступа злоумышленники использовали обратный SSH-туннель — классифицируется как T1572 (Protocol Tunneling).
- Операции приписываются группе Head Mare, демонстрирующей эволюцию инструментов и сложную многоязычную инфраструктуру.
Как происходило заражение и закрепление
Атака начиналась с фишингового письма с вложением. Вложение представляло собой polyglot file, что позволяло скрыть вредоносный код под видом легитимного документа или архива и обойти базовые проверки. При взаимодействии с вложением запускался скрипт PowerShell, который загружал и запускал бэкдор, устанавливающий соединение с командным сервером злоумышленников.
Важная особенность — экспортируемые функции PhantomRemote, реализованные в Visual C++, отвечали за удалённое выполнение команд и установление управления на заражённом хосте. Параллельно злоумышленники внедряли дополнительные компоненты, что указывает на модульную архитектуру и стремление к устойчивому закреплению в сети жертвы.
Техника и инструментарий (TTP)
- Initial Access: Spearphishing attachment — T1566.001.
- Discovery: Сбор сетевых конфигураций — T1016.
- Persistence / Tunneling: Обратный SSH-туннель — T1572.
- Execution / Data Exfiltration: PowerShell-скрипты для передачи данных в облако (компонент PhantomPSUpload).
Описание обнаруженных семейств и компонентов
- PhantomRemote (Visual C++): бэкдор с возможностью удалённого выполнения команд; экспортирует ключевые функции для управления и исполнения команд.
- PhantomCSLoader (C#): загрузчик/второй бэкдор, используемый для многоуровневого закрепления.
- PhantomPSUpload: набор PowerShell-скриптов, отвечающих за сбор и отправку конфиденциальных данных в облачную инфраструктуру злоумышленников.
- PhantomSAgent: дополнительные агенты, обнаруженные в виде отдельных экземпляров, написанные на различных языках и выполняющие вспомогательные функции.
«Использование polyglot file позволило злоумышленникам скрыть бэкдор и обеспечить его запуск посредством PowerShell-скрипта, что критически усложняет детекцию на этапе первоначального доступа».
Атрибуция
По доступным данным, операцией руководит группа Head Mare. Её поведение характеризуется постоянным улучшением наборов инструментов, применением многоязычных имплементаций и сохранением общих целей между подгруппами при одновременной дифференциации оперативных характеристик.
Последствия для жертв и уровень риска
Комбинация инструментов даёт злоумышленникам как возможность долговременного доступа (через SSH-туннелирование и многоуровневые бэкдоры), так и экспроприации данных (через PhantomPSUpload). Это повышает риск масштабных утечек, сложностей в обнаружении и длительного латентного присутствия в сети.
Рекомендации по защите и реагированию
- Усилить фильтрацию входящей почты и блокировать подозрительные вложения, включая polyglot-форматы.
- Ограничить выполнение PowerShell-скриптов: внедрять политики Constrained Language Mode и контроль запуска с цифровой подписью.
- Мониторить аномалии сетевой активности, особенно исходящие SSH-соединения и туннели.
- Ввести детектирование поведения бэкдоров: наблюдать за процессами с необычными сетевыми соединениями и вызовами экспортируемых функций у исполняемых файлов.
- Проверить облачные хранилища и исходящие каналы на предмет несанкционированной передачи данных.
- Проводить регулярные инцидент-ответные учения и обновлять правила EDR/IDS с учётом обнаруженных сигнатур и IOC.
Вывод
Наблюдаемая кампания демонстрирует зрелую и адаптирующуюся угрозу: злоумышленники комбинируют обфускацию, многоуровневые бэкдоры и туннелирование для получения и удержания доступа, а также для вывода ценной информации. Организациям требуется комплексный подход: усиление почтовой безопасности, ограничение возможностей PowerShell, мониторинг сетевого трафика и оперативное реагирование на инциденты, чтобы противостоять подобным многоаспектным атакам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "PhantomRemote и PhantomCSLoader: многоуровневый фишинг Head Mare".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.