Исследователи F.A.C.C.T. задетектили новый вредоносный загрузч | Russian OSINT
Исследователи F.A.C.C.T. задетектили новый вредоносный загрузчик PhantomDL (PhantomGoDownloader), который, вероятно, имеет тесные связи с группой кибершпионажа PhantomCore и используется с марта 2024 года.
PhantomCore работает по России с января 2024 года, нацеливаясь на компании в сфере ВПК РФ.
Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками.
Основной инструмент APT - троян удаленного доступа PhantomRAT.
В конце марта исследователям удалось обнаружили на платформе VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл.
Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.
Злоумышленники задецствовали вариацию CVE-2023-38831 в WinRAR, в которой вместо ZIP-архивов используются RAR-архивы.
Если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.
В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.
Исполняемый файл является загрузчиком, написанным на языке Go. Для его обфускации, предположительно, используется утилита Garble.
Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов.
Это позволило идентифицировать название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.
Останавливаться на технических аспектах и атрибуции загрузчика PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в блоге.
Но, очевидно, что PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению.
Если на ранних этапах злоумышленники использовали достаточно простой загрузчик PhantomCore.Downloader, то уже спустя месяц перешли к более сложному - PhantomDL.
При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.