Артем Грищенко

Специалист по анализу вредоносного кода, F.A.C.C.T.

Призрак в архиве: эксперты F.A.C.C.T. обнаружили атаки новой группы кибершпионов PhantomCore

Злоумышленники атакуют российские компании с начала 2024 года

26 марта, 2024 · мин. на чтение · Киберразведка

PhantomCore

Threat Intelligence

Кибершпионы

Специалисты компании F.A.C.C.T. обнаружили новую группу кибершпионов, активность которой, по имеющимся данным, началась с января 2024 года. Группа получила название PhantomCore по причине того, что злоумышленники используют уникальный, ранее не описанный троян удаленного доступа — PhantomRAT.

Первоначальным вектором атаки PhantomCore на российские компании являются фишинговые письма, содержащие защищенные паролем RAR-архивы (пароль содержится в теле письма). Они эксплуатируют вариацию уязвимости WinRAR —CVE-2023-38831, в которой вместо ZIP-архивов используются RAR. Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT.

Ключевые находки

Специалисты F.A.C.C.T. обнаружили новый кластер угроз — группу, атакующую российские компании начиная с января 2024 года.
Злоумышленники используют уникальный троян удаленного доступа PhantomRAT.
Атакующие эксплуатируют ранее не описанную вариацию уязвимости CVE-2023-38831, где вместо ZIP-архивов, используются RAR.
Группа использует .NET-приложения с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.

Киллчейн атаки

Киллчейн атаки группы PhantomCore 8 февраля 2024 года:

Рис. 1 — Киллчейн атаки группы PhantomCore.

Описание атаки

Специалистами компании F.A.C.C.T. были обнаружены письма, отправленные 8 февраля 2024 года.

Фишинговое электронное письмо PhantomCore

Рис. 2 — Фишинговое электронное письмо.

Письма содержат информацию о направлении договора и вложенный архив, защищенный паролем (пароль содержится в теле письма — Qwe123). Скриншоты содержимого архива:

Рис. 3, 4 - Содержимое архива "Договор №771-86.rar”

Злоумышленники используют разновидность CVE-2023-38831, эксплуатируя ту же уязвимость WinRAR. Исключением является использование RAR-архивов вместо ZIP. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл, содержащий «Акт сверки». Скриншот легитимного PDF-файла:

Рис. 5 — PDF-документ приманка.

Исполняемый файл «Договор №771-86.pdf .exe» является .NET-приложением, с опцией развертывания одним файлом (single-file deployment). В данном типе приложений .NET-библиотеки (модули) содержатся в теле файла в сериализованном виде. Это также может использоваться, как метод защиты вредоносного ПО от обнаружения различными средствами защиты системы.

Данное приложение содержит .NET-библиотеку service.dll. Библиотека является загрузчиком и будет запущена в контексте основного исполняемого файла. Данная библиотека содержит функциональные возможности для загрузки и записи файла в систему (для удаленного хранения файлов используется сервис FileTransfer[.]io), а также закрепления загруженного файла в системе, путем создания запланированной задачи. Далее по тексту данное вредоносное ПО будет иметь название PhantomCore.Downloader.

Рис. 6 — Main-функция PhantomCore.Downloader.

URL-адрес, с которого выполняется загрузка файла:

hxxps://filetransfer[.]io/data-package/hmiQV0vH/download

Путь, по которому будет сохранен загруженный файл:

%AppData%\Microsoft\Windows\EventManager.exe

Закрепление в зараженной системе выполняется путем создания запланированной задачи. Данная задача будет сформирована с помощью заранее подготовленного XML-файла, который будет создан по следующему пути %AppData%\Microsoft\Windows\link.xml, а также команды в интерпретаторе командной строки cmd.exe — schtasks. Команда, которая будет выполнена в системе:

schtasks -create -tn MicrosoftStatisticCore /XML %AppData%\Microsoft\Windows\link.xml

Параметры запланированной задачи:

Name	MicrosoftStatisticCore
Path	\
Author	Microsoft Corporation
Action	pcalua.exe -a %AppData%\Microsoft\Windows\EventManager.exe

PhantomRAT

Загруженный файл EventManager.exe также является .NET-приложением с опцией развертывания одним файлом (single-file deployment). Данный файл содержит .NET-библиотеку EventManager.dll. Она была классифицирована нами как ранее не описанное, вредоносное ПО PhantomRAT.

PhantomRAT — это троян удаленного доступа, основанный на .NET. PhantomRAT имеет следующие возможности: загрузка файлов с C2-сервера, выгрузка файлов со скомпрометированного хоста на C2-сервер, а также выполнение команд в интерпретаторе командной строки cmd.exe. Троян использует протокол RSocket для коммуникации с C2-сервером.

Технические детали

Структура классов

Извлеченный модуль PhantomRAT имеет следующую структуру классов:

Рис. 7 — Структура классов PhantomRAT.

На скриншоте выше можно увидеть, что все классы расположены в пространстве имен phantom, отчего троян и получил свое название PhantomRAT.

Конфигурация трояна

Класс phantom.config.Configuration содержит конфигурационные параметры трояна. Пример конфигурационных параметров:

Рис. 8 — Пример конфигурации PhantomRAT.

PRIMARY_END_POINT — основной C2-адрес, с которым будет выполнено соединение.
SECONDARY_END_POINT — запасной C2-адрес. В случае, если основной адрес (PRIMARY_END_POINT) недоступен, они будут поменяны местами.
KEY — AES-ключ, использующийся для шифрования и расшифровки данных при коммуникации с C2-адресом (данный ключ будет получен от сервера, после отправки данных о системе на сервер).
RETRY_DELAY — объект TimeSpan, содержащий количество времени между попытками соединения с C2-адресом.
MAX_RETRY_ATTEMPTS — количество доступных попыток соединения с C2-адресом.
TIME_OUT_SHELL, TIME_OUT_COMMAND, TIME_PING, TIME_REQUEST, DEVIATION — параметры, влияющие на количество секунд простоя между выполнением различных запросов к C2-серверу.

Выполнение

После запуска PhantomRAT создаст объект импланта, который получает и хранит следующую информацию:

случайно сгенерированный Uuid;
имя узла локального компьютера (HostName);
имя пользователя (UserName);
локальный IP-адрес;
внешний IP-адрес (будет получен путем выполнения запроса к hxxps://httpbin[.]org/ip);
информация о версии операционной системы. Шаблон: «%Caption% (Version: %Version%)». Данные параметры будут получены в результате WMI-запроса «SELECT * FROM Win32_OperatingSystem»;
временная метка (обновляется после каждой отправки данных о системе на C2-сервер).

Инициализация объекта Implant PhantomCore

Рис. 9 — Инициализация объекта Implant.

Когда объект был инициализирован, PhantomRAT создаст RSocket соединение с C2-сервером. После успешной установки соединения PhantomRAT перейдет в бесконечный цикл, в котором выполняются следующие действия:

В случае, если в конфигурации отсутствует AES-ключ, то будет выполнен запрос к C2-адресу для его получения. Также в данном запросе будет отправлена информация о зараженной системе (описана в списке выше);
Ping-Pong запрос к C2-серверу;
Создание задачи для перехода в процесс циклического получения и выполнения команд от сервера.

После запуска задачи будет выполнен запрос к серверу, результатом которого ожидается получение от сервера зашифрованной строки «shell». В случае удовлетворительного ответа процесс исполнения будет передан в задачу, отвечающую за выполнение запросов для получения команд и их выполнения. В остальных случаях процесс продолжит свою работу без перехода к обработчику команд. Алгоритмом шифрования строки является AES-256 CBC, где ключ будет получен от сервера (также может быть заранее определен в конфигурации), а вектором инициализации является последовательность из 16 нулевых байт.

Когда процесс попадает в обработчик команд от сервера, будет выполнен запрос к C2-адресу, который содержит зашифрованную строку, имеющую следующий шаблон: [+] Start session on (%Uuid%). Алгоритм шифрования аналогичен ранее описанному. В случае, если ответом на данный запрос не является строка «Error», PhantomRAT выполнит запрос для получения зашифрованной команды от сервера.

Команды

Рис. 10 — Часть кода, отвечающая за обработку команд, полученных от C2-сервера.

PhantomRAT содержит функциональные возможности для обработки 3-х команд:

Download;
Upload;
Выполнение команд CMD.

Команда Download

Данная команда выполняет эксфильтрацию файла на C2-сервер. Шаблон команды: «download %Path%». Где %Path% — это путь к файлу на зараженной системе. В данной команде используются 3 типа запроса, для обозначения начала файла, конца файла и самого тела файла. Последний тип запроса будет отправлен циклично, пока файл не будет полностью выгружен на C2-сервер, где каждый запрос вмещает 512000 байт файла.

Команда Upload

Данная команда используется для загрузки файла на зараженную систему. Шаблон команды: «upload %URL% %PATH%». Где %URL% — это URL-адрес, с которого будет загружен файл, а %PATH% — путь, по которому будет выполнено сохранение загруженного файла.

Команда для выполнения команд CMD

Команда используется для выполнения команд в интерпретаторе командной строки cmd.exe. Данная команда не содержит определенного ключевого слова, как в случае download и upload. В случае, если команда начинается с подстроки «cd «, данная подстрока будет заменена на «start /B /C cd «, после чего, данная команда будет выполнена на зараженной системе. В иных случаях, к команде будет добавлена подстрока «start /B /C chcp 866 && «, после чего, она также будет выполнена на зараженной системе. Результат работы команды и ошибки, возникшие в ходе ее выполнения, будут отправлены на C2-сервер в зашифрованном виде.

Сетевое взаимодействие

PhantomRAT использует RSocket-протокол для сетевого взаимодействия. RSocket — это двусторонний протокол передачи сообщений, разработанный для работы поверх различных транспортных слоев, таких как TCP, WebSockets и Aeron. В случае PhantomRAT, RSocket-протокол выполняет передачу данных посредством TCP-протокола. RSocket-протокол содержит 4 модели взаимодействия:

Request-Response – отправка одного сообщения и получение одного в ответ;
Request-Stream – отправка одного сообщения и получение потока сообщений в ответ;
Channel – передача потоков сообщений в обоих направлениях;
Fire-and-Forget– отправка одностороннего сообщения.

PhantomRAT реализует только две модели из выше представленных (Request-Response и Fire-and-Forget). Важно отметить, что данный протокол имеет два типа передаваемых данных: data и metadata. Для передачи данных троян использует поле data. Для определения типа запроса PhantomRAT использует поле metadata. Значения поля metadata, которые используются при выполнении запросов:

«RTOil/a=»;
«HPL3n2F=»;
«hrOit/P=»;
«CaYnkcC=»;
«0vJbarOs»;
«WDhesSST=»;
«gheV1rSrQ=»;
«IiEk1DsT=»;
«pqs6fDsM=»;
«86atvDE=»;
«cbiXAFJW»;
«cbiXAFJS»;
«error»;
«1vsbSrP=».

Исследование

Дополнительные файлы

В ходе нашего исследования, были также обнаружены другие файлы, принадлежащие аналогичным атакам, как та, которая была описана выше. Один из найденных образцов PhantomRAT — AppManager.exe, имеет такую же конфигурацию, что и образец, описанный выше. Данный семпл был загружен вредоносным ПО PhantomCore.Downloader (SHA1: edbb1735760db06a11039b42ddc68db7cda9cdc8), который использует следующий URL-адрес для загрузки PhantomRAT:

hxxps://filetransfer[.]io/data-package/sxb66DYM/download

Также, был обнаружен RAR-архив «Информация по договору.rar», в котором использовалась аналогичная вариация уязвимости CVE-2023-38831. К найденному архиву был подобран пароль — «1111».

Рис. 11, 12 - Содержимое архива "Информация по договору.rar"

Исполняемый файл «Пример формы для заполнения.pdf .exe», расположенный внутри архива, был классифицирован как PhantomCore.Downloader, аналогичный тому, который использовался в описанной выше цепочке заражения. URL-адрес, с которого загружалась следующая стадия:

hxxps://filetransfer[.]io/data-package/x250yuoZ/download

Загруженный файл WinDidget.exe классифицирован как PhantomRAT, и имеет конфигурацию:

internal class Configuration
{
	public static int DEVIATION = 20;
	public static int TIME_REQUEST = 50;
	public static int TIME_PING = 100;
	public static int TIME_OUT_COMMAND = 20;
	public static int TIME_OUT_SHELL = 1;
	public static int MAX_RETRY_ATTEMPTS = 10;
	public static string KEY = string.Empty;
	public static TimeSpan RETRY_DELAY = TimeSpan.FromSeconds(30.0);
	public static string PRIMARY_END_POINT = "tcp://cabinet-yandex[.]info:7000/";
	public static string SECONDARY_END_POINT = "tcp://games[.]cabinet-company[.]info:7000/";
}

Тестовые образцы

В ходе исследования, были обнаружены образцы PhantomRAT и PhantomCore.Downloader, которые имели, либо локальные, либо тестовые C2-адреса. В случае, PhantomCore.Downloader, был использован C2-адрес hxxps://fexample[.]com. Использование данного адреса вместо filetransfer[.]io может говорить о том, что данный файл использовался для тестирования сборки.

Рис. 13 — Main-функция тестового образца PhantomCore.Downloader.

Данный файл был впервые загружен на VirusTotal 31 января 2024 года, из города Киев.

Рис. 14 — Информация о загрузке образца PhantomCore.Downloader (SHA1: 4d5c661e3ff1796930bcdc95b901083fa1db5358) на VirusTotal.

Нами также был обнаружен подобный образец PhantomCore.Downloader (SHA1: b8603bce890686f1ed9a1e0795e82e7ea6c43424), однако после запуска данный семпл завершает работу с ошибкой. Также, в отличие от остальных семплов, он не может быть проанализирован, инструментом ILSpy, что может говорить об ошибочной .NET сборке (single-file deployment). Данный семпл был впервые загружен на VirusTotal 31 января 2024 года с использованием того-же Source-ключа, что и при загрузке предыдущего семпла.

Рис. 15 — Информация о загрузке образца PhantomCore.Downloader (SHA1: b8603bce890686f1ed9a1e0795e82e7ea6c43424) на VirusTotal.

В случае с PhantomRAT, обнаруженный образец содержал C2-адреса, где вместо домена используется адрес локального хоста:

tcp://localhost:7000/

Это может говорить о том, что данный образец не использовался для атак, а был собран для тестирования сборки PhantomRAT. Данный файл был впервые загружен на VirusTotal 26 февраля 2024 года, из города Киев.

Рис. 16 — Информация о загрузке образца PhantomRAT (SHA1: 59c4b5587cd1f18ba8aee66d73328667d824acfd) на VirusTotal.

Исходя из информации, что три тестовых образца уникального вредоносного ПО, которое используется группировкой PhantomCore, были загружены из Украины, мы со средним уровнем уверенности, можем заявить, что злоумышленники, осуществляющие данные атаки, могут находиться на территории Украины.

Выводы

Специалисты F.A.C.C.T. обнаружили новую преступную группу, которая использует в атаках один из популярных векторов первоначального доступа — почтовые рассылки фишинговых писем. Интересным еще является тот факт, что уже исправленная (в новых версиях) уязвимость в программе WinRAR CVE-2023-38831 продолжает эксплуатироваться злоумышленниками при совершении своих атак. Хотя и в данном случае используется не описанная вариация данной уязвимости, в которой используются RAR-архивы вместо ZIP, данная уязвимость не является эксплуатируемой для WinRAR с версией 6.23 и выше.

Злоумышленники не останавливаются на использовании популярных троянов удаленного доступа, а продолжают вести разработку собственных вредоносов, которые используют в своих атаках.

Индикаторы компрометации

Файлы

RAR-архивы

Filename	Договор №771-86.rar
MD5	b03256a6a7bc3df5ef7c19c7ff4108ed
SHA1	676e26cb3ce9a1cd2cf5f0f5184f802553d7a324
SHA256	3f1271e3fd2d0032b496e5676dc361ceb54394807d37ddd5c1abba044dbbe9cd

Filename	Информация по договору.rar
MD5	3ff20f253602421de249d9712a64296b
SHA1	85beb37a0215ea4e99d7b30fb5590d6e10c0a805
SHA256	7881082217ff9d5a737b071fa57bef7749076b60fdeb402f353b5f4875cb56b6

PDF-документ

Filename	Договор №771-86.pdf Пример формы для заполнения.pdf
MD5	d351104bdfd06263baf8eaf404834da1
SHA1	1e8b9fe5e4ebfd06342f037be7f99c0c5d22aba6
SHA256	26c74d7b2fe32bc9b05ab823b84b84536b49ef9b78482054dc60fae8ae3b92ee

PhantomCore.Downloader

Filename	Договор №771-86.pdf .exe
MD5	94d246e82bfe0f3ec77d9c6a5fba9624
SHA1	fbcf21464ec9ffcef8bdd0022706d9fd8ccd975e
SHA256	7e862f1563bc3b7341557567745d23500682e78db1e920ecc09647286744a203

Filename	template.exe
MD5	e286f2124141bd8d795835281e0021b0
SHA1	edbb1735760db06a11039b42ddc68db7cda9cdc8
SHA256	7ef0b7dc9ead8bbef4d3e14c63ef85acb9cbfd5cf9b22284e02f05103a009de5ф

Filename	Пример формы для заполнения.pdf .exe
MD5	92d5ddf10b6a589dae89aedf79451bcd
SHA1	a0e42178635d41012709392afda965cbc9973fb6
SHA256	139c9608aec0d4d80a10d15e39c7de38910197eda67f4b2033019d08862cf63d

Filename	template.exe
MD5	b1caf2304b06d5e55657f72898c6136f
SHA1	4d5c661e3ff1796930bcdc95b901083fa1db5358
SHA256	601112e8009955ec75fb13235d110c64fe4bdd8b42d9142e14dffc0e19656588

Filename	template.exe
MD5	5499c3d26aed69638b820217d8dbe6e5
SHA1	b8603bce890686f1ed9a1e0795e82e7ea6c43424
SHA256	e5311166ae01605ae591533d128b501aec910bf53e77308504bbf9f33e036a63

PhantomRAT

Filename	EventManager.exe
MD5	32a8930dc063456554d8101df5e3b34a
SHA1	1b0c9953b2aff3fcbd863555a8946a1923e002c1
SHA256	0f1e2476494cfb1a77cecadafc287935c1e3b9d20b42f14bb91add4a3ef86efd

Filename	Test2.exe
MD5	25e491710ba6a484d131dbcfeebc9d04
SHA1	59c4b5587cd1f18ba8aee66d73328667d824acfd
SHA256	c31cbfac1e20fc4270ebc997b3f18223dae6e2bb97b6a7c65a3e2706b38df5eb

Filename	AppManager.exe
MD5	e754a0662903469eaf0884438d035174
SHA1	d57924e70fec2032d0faac191df21b4c6396733d
SHA256	d4d76f3d7a5597b3eb7feffe0daca838611fce7419a46484e99e3b4aef5516af

Filename	WinDidget.exe
MD5	7c762bf2b4ce0a799979feab588f4bc4
SHA1	2f0a5ed5c845bb321f3163369640f3d36d7b2e2f
SHA256	f4f34b52b7fb2f49800cd5c72b410fc8ab270604216fe2c2afec718d7e18561a

URL-адреса

hxxps://filetransfer[.]io/data-package/hmiQV0vH/download
tcp[:]//wheelprom[.]ru:80/
tcp[:]//ugroteches[.]ru:80/
hxxps://filetransfer[.]io/data-package/x250yuoZ/download
tcp[:]//cabinet-yandex[.]info:7000/
tcp[:]//games.cabinet-company[.]info:7000/
hxxps://filetransfer[.]io/data-package/sxb66DYM/download

PDB-пути PhantomRAT

D:\github\phantom\phantom\obj\Release\net8.0\win-x64\EventManager.pdb
D:\github\phantom\phantom\obj\Release\net8.0\win-x64\WinDidget.pdb
D:\github\phantom\phantom\obj\Release\net8.0\win-x64\Test2.pdb
D:\github\phantom\phantom\obj\Release\net8.0\win-x64\AppManager.pdb

Процессы

cmd.exe schtasks -create -tn MicrosoftStatisticCore /XML %AppData%\Microsoft\Windows\link.xml
cmd.exe schtasks -create -tn MicrosoftStatisticCore /XML %AppData%\Microsoft\Windows\Tsk.xml

Файловые пути

%AppData%\Microsoft\Windows\link.xml
%AppData%\Microsoft\Windows\Tsk.xml
%AppData%\Microsoft\Windows\WinDidget.exe
%AppData%\Microsoft\Windows\EventManager.exe
%AppData%\Microsoft\Windows\AppManager.exe

Шаблон задачи планировщика задач Windows

Name	MicrosoftStatisticCore
Path	\
Author	Microsoft Corporation
Action	pcalua.exe -a %AppData%\Microsoft\Windows\*

MITRE ATT&CK®

ТАКТИКИ	ТЕХНИКИ	ПРОЦЕДУРЫ
Resource-development (TA0042)	Develop Capabilities: Malware (T1587.001)	PhantomCore используют уникальное вредоносное ПО PhantomRAT.
Initial Access (TA0001)	Phishing: Spearphishing Attachment (T1566.001)	PhantomCore используют электронные письма, которые содержат вложенный архив, защищенный паролем.
Execution (TA0002)	Command and Scripting Interpreter: Windows Command Shell (T1059.003)	PhantomCore используют PhantomCore.Downloader, который создает запланированную задачу в планировщике задач Windows, используя команду в интерпретаторе командной строки.
		PhantomCore используют вредоносное ПО PhantomRAT, которое может использовать cmd.exe для выполнения команд на зараженной системе.
	Exploitation for Client Execution (T1203)	PhantomCore используют вариацию уязвимости CVE-2023-38831, для запуска вредоносного файла в архиве, после того как пользователем будет запущен легитимный PDF-файл.
	User Execution: Malicious File (T1204.002)	Пользователю необходимо открыть RAR-архив, эксплуатирующий уязвимость CVE-2023-38831. После запуска пользователем легитимного PDF-файла, будет запущен вредоносный исполняемый файл.
	Scheduled Task/Job: Scheduled Task (T1053.005)	PhantomCore используют PhantomCore.Downloader, который создаст запланированную задачу, для закрепления следующей стадии в зараженной системе.
Persistence (TA0003)
Privilege-escalation (TA0004)
Defense-evasion (TA0005)	Deobfuscate/Decode Files or Information (T1140)	PhantomCore используют вредоносное ПО PhantomRAT, которое расшифровывает полученные команды от сервера перед их выполнением.
	Indirect Command Execution (T1202)	PhantomCore используют PhantomCore.Downloader, который создаст запланированную задачу. Цель данной задачи, запуск следующей стадии через инструмент системы — pcalua.exe (Program Compatibility Assistant).
	Masquerading: Double File Extension (T1036.007)	PhantomCore используют двойные файловые расширения. В случае PhantomCore, двойные расширения необходимы для эксплуатации уязвимости CVE-2023-38831.
	Masquerading: Masquerade Task or Service (T1036.004)	PhantomeCore используют PhantomCore.Downloader, который создает запланированную задачу с именем MicrosoftStatisticCore.
	Obfuscated Files or Information (T1027)	PhantomCore используют метод распространения приложений в виде .NET-приложения, с опцией развертывания одним файлом (single-file deployment). Вредоносный модуль хранится в теле файла в сериализованном виде.
Discovery (TA0007)	System Information Discovery (T1082)	PhantomCore используют вредоносное ПО PhantomRAT, которое собирает данные о системе, такие как: версия ОС, внешний и внутренний IP-адреса, имя хоста и имя пользователя.
Collection (TA0009)	Data from Local System (T1005)	PhantomCore используют вредоносное ПО PhantomRAT, которое собирает данные о системе, такие как: версия ОС, внешний и внутренний IP-адреса, имя хоста и имя пользователя.
Command and Control (TA0011)	Application Layer Protocol (T1071)	PhantomCore используют вредоносное ПО PhantomRAT, которое использует протокол прикладного уровня RSocket, для коммуникации с C2-сервером.
	Application Layer Protocol: Web Protocols (T1071.001)	PhantomCore используют PhantomCore.Downloader, который загружает следующую стадию с filetransfer[.]io используя HTTP-протокол.
	Encrypted Channel: Symmetric Cryptography (T1573.001)	PhantomCore используют вредоносное ПО PhantomRAT, которое использует алгоритм шифрования AES для передачи данных при коммуникации с C2-сервером.
	Ingress Tool Transfer (T1105)	PhantomCore используют вредоносное ПО PhantomRAT, которое имеет возможность загрузки файлов на зараженную систему.
	Ingress Tool Transfer (T1105)	PhantomCore используют PhantomCore.Downloader, для загрузки PhantomRAT на зараженную систему.
	Non-Standard Port (T1571)	В некоторых случаях конфигурация PhantomRAT содержала C2-адреса с указанным портом — 7000.
Exfiltration (TA0010)	Exfiltration Over C2 Channel (T1041)	PhantomCore используют вредоносное ПО PhantomRAT, которое может выполнять эксфильтрацию файлов на C2-сервер.