Группировка действует в России с начала 2024 года.
Аналитики F.A.C.C.T Threat Intelligence с марта 2024 года Для просмотра ссылки Войдиили Зарегистрируйся активность нового загрузчика PhantomDL, который связан с кибершпионской группой PhantomCore, известной своими атаками на российские организации с начала года.
PhantomDL используется для распространения вредоносных программ с помощью фишинговых писем, содержащих зашифрованные архивы с вредоносными файлами. В одном из случаев документ-приманка маскировался под акт приема-передачи строительной площадки на территории атомной отрасли России.
Содержимое документа-приманки
При открытии PDF-файла в устаревших версиях программы WinRAR может быть активирован исполняемый файл. Атака основана на уязвимости Для просмотра ссылки Войдиили Зарегистрируйся Если используется версия WinRAR 6.23 и выше, открывается лишь легитимный PDF-документ.
PhantomDL также обнаруживает, откуда осуществляется доступ к интернету. Если доступ осуществляется не с российского IP-адреса, соединение разрывается. В случае успешного соединения, загрузчик может получить команды для дальнейшего скачивания вредоносного ПО или завершения работы.
За последний месяц специалисты выявили новый образец PhantomDL, который не использует методы обфускации, что облегчило его анализ и позволило подтвердить связь с уже известной деятельностью PhantomCore. Согласно исследованию F.A.C.C.T, использование PhantomDL является частью стратегии PhantomCore, направленной на обход защитных механизмов и проведение кибершпионажа против российского военно-промышленного комплекса.
Аналитики F.A.C.C.T Threat Intelligence с марта 2024 года Для просмотра ссылки Войди
PhantomDL используется для распространения вредоносных программ с помощью фишинговых писем, содержащих зашифрованные архивы с вредоносными файлами. В одном из случаев документ-приманка маскировался под акт приема-передачи строительной площадки на территории атомной отрасли России.
Содержимое документа-приманки
При открытии PDF-файла в устаревших версиях программы WinRAR может быть активирован исполняемый файл. Атака основана на уязвимости Для просмотра ссылки Войди
PhantomDL также обнаруживает, откуда осуществляется доступ к интернету. Если доступ осуществляется не с российского IP-адреса, соединение разрывается. В случае успешного соединения, загрузчик может получить команды для дальнейшего скачивания вредоносного ПО или завершения работы.
За последний месяц специалисты выявили новый образец PhantomDL, который не использует методы обфускации, что облегчило его анализ и позволило подтвердить связь с уже известной деятельностью PhantomCore. Согласно исследованию F.A.C.C.T, использование PhantomDL является частью стратегии PhantomCore, направленной на обход защитных механизмов и проведение кибершпионажа против российского военно-промышленного комплекса.
- Источник новости
- www.securitylab.ru