Артем Грищенко

Специалист по анализу вредоносного кода, F.A.C.C.T.

Алена Шандер

Аналитик группы исследования сложных угроз, F.A.C.C.T.

Эволюция призрака: новые атаки и инструменты кибершпионов PhantomCore

21 августа, 2024 · мин. на чтение · Технологии

Весной этого года эксперты F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, атакующих российские организации с начала 2024 года. Группировка получила своё название по имени их уникального трояна удаленного доступа PhantomRAT.

За относительно короткое время, прошедшее с момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL, злоумышленники успели переписать свой троян удаленного доступа PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами; разработали PhantomDL 3 версии (v.3), а затем выпустили еще одну версию (v.4), которую частично дополнили возможностями PhantomRAT.

С использованием этих инструментов группа совершила ряд новых атак, нацеленных на различные российские объекты: приборостроительный завод, завод полимерных материалов, механический завод, технопарк, лизинговую, нефтегазовую и IT-компанию.

Анализируя эти атаки, стоит отметить одну особенность: злоумышленники предварительно компрометируют сторонние организации и используют их для проведения атак на основные цели, в частности: рассылают вредоносные письма со скомпрометированных почтовых адресов, а также размещают вредоносные программы в инфраструктуре взломанных организаций.

Такие «организации-плацдармы» атакующие получили, скомпрометировав производителя бытовой и промышленной химии, разработчика ПО, разработчика и интегратора медицинских технологий, дистрибьютора продукции металлургического завода, строительную компанию.

В этом блоге специалисты F.A.C.C.T. описывают новые активности и кибератаки группы PhantomCore, большая часть которой была обнаружена и заблокирована с помощью системы F.A.C.C.T. Managed XDR. Другую часть активности удалось обнаружить благодаря внутренним правилам на инфраструктуру атакующих и анализу публичных песочниц.

Хронология выявления нашими специалистами вредоносных индикаторов и рассылок, связанных c группировкой PhantomCore, выглядит следующим образом:

3 мая — зарегистрирована инфраструктура атакующих;
8 мая — обнаружена версия PhantomRAT на Golang (v.2), взаимодействующая с некоторыми доменами, зарегистрированными 3 мая;
15 мая — обнаружена обновленная версия PhantomRAT на Golang (v.3) с расширенными функциональными возможностями;
7 июня — обнаружен загрузчик PhantomDL 3 версии;
11 июня — заблокирована первая рассылка группы PhantomCore в адрес ИТ-организации с использованием семпла, раскрытого 7 июня;
2 июля — заблокирована вторая рассылка группы PhantomCore в адрес той же ИТ-организации;
4 июля — найдены два вредоносных архива группы PhantomCore;
5 июля – заблокирована третья рассылка в адрес той же ИТ-организации, во вложении — архив, обнаруженный 4 июля;
8 июля — выявлены рассылки в адрес технопарка и в адрес производителя полимерных материалов;
9 июля — выявлена первая рассылка в адрес лизинговой организации;
10 июля — раскрыта вторая рассылка, целями которой стали две лизинговые организации;
11 июля — обнаружено такое же письмо, как рассылалось 10 июля, но получатель — механический завод.
11 июля – выявлена рассылка в адрес приборостроительного завода;
16 июля — на Any.Run загружено письмо, вероятно сотрудником ИБ-отдела нефтегазовой компании, в которой обсуждается рассылка, проводимая в адрес этой компании 4 июля, в качестве вложения использовался архив, обнаруженный 4 июля на VT.

Мы надеемся, что техническое описание новых атак, индикаторы компрометации, а также наши рекомендации помогут российским компаниям, которые находятся в группе риска, провести дополнительные мероприятия для предотвращения потенциального ущерба от возможных кибератак PhantomCore.

Описание

Специалистам F.A.C.C.T. Threat Intelligence с помощью правил, написанных на инфраструктуру группы PhantomCore, удалось обнаружить домены и связанные с ними вредоносные файлы, вероятно, используемые группировкой в недавних атаках.

Среди обнаруженных доменов:

linualsut[.]ru;
sdufho[.]ru;
jaudyoyh[.]ru;
sauselid[.]ru.

Интересно, что на момент обнаружения эти домены не помечаются платформой VirusTotal как вредоносные. На рис. 1 видно, что с доменом jaudyoyh[.]ru было замечено взаимодействие файла «splwow.exe» (md5: 16f97ec7e116fe3272709927ab07844e).

Рис. 1 – страница анализа домена «jaudyoyh[.]ru» на платформе VirusTotal

PhantomRAT v.2

Обнаруженный файл «splwow.exe» был загружен на VirusTotal 8 мая 2024, наш анализ показал, что он является обновленной версией PhantomRAT. Оказалось, что вслед за появлением загрузчика PhantomDL, написанного на языке Golang и обфусцированного, предположительно, утилитой garble, появился семпл PhantomRAT, переписанный с языка C# на Golang и использующий аналогичную обфускацию. В качестве управляющих серверов в конфигурации трояна были указаны два домена, раскрытые нами с помощью правил на инфраструктуру группы ранее:

sdufho[.]ru;
jaudyoyh[.]ru.

Первая версия PhantomRAT была детально описана в блоге, посвященном активности группы PhantomCore, поэтому здесь остановимся на описании функциональных возможностей обнаруженной второй версии этого трояна.

Команда	Описание
download {filepath}	Выгружает файл, размещенный на системе жертвы, по пути, указанному в параметре {filepath} на C2. Отметим, что первая часть файлового пути {filepath} содержит текущий каталог, который будет установлен в ходе выполнения произвольной команды или команды «execute», которая может быть обработана в задаче-родителе.
upload {URL} {filepath}	Загружает файл с адреса, указанного в параметре {URL}, на зараженную систему по пути, указанному в параметре {filepath}.
install {filepath}	Выполняет запрос для получения ссылки, по которой будет загружен файл, и сохраняет его по пути, который имеет шаблон: C:\ProgramData\{filepath}, где {filepath} — аргумент команды.
start {filepath}	Выполняет запуск указанного файла, используя cmd.exe команду: cmd /c C:\ProgramData\{filepath}.
None, shell	Завершает итерацию цикла получения и обработки команд.
exit	Выполняет выход из цикла получения и обработки команд.
{cmd}	Произвольная команда используется для выполнения команд в интерпретаторе Windows (cmd.exe), а также для выполнения перемещений по файловой системе. Результаты выполнения команд будут отправлены на C2. В случае, если полученная команда не совпала ни с одной из команд выше, обработчик команд переходит в обработку команды интерпретатором. При первом выполнении команды будет выполнена проверка на наличие значения в глобальной переменной, которая содержит текущую директорию. Если переменная не установлена, PhantomRAT получит файловый путь текущей директории и установит в качестве значения параметра ({current_dir}). Далее будет выполнена обработка команды по одному из трех сценариев: смена директории (если команда начинается с подстроки «cd») — вместо выполнения cmd.exe будет выполнена замена глобальной переменной {current_dir} на указанное значение в команде ({cmd}) после подстроки «cd». Если команда не содержит подстроку «:\» (в команду передан относительный путь), то значение переменной {current_dir} будет установлено строкой {current_dir}\{cmd_part}\.; переход в родительскую директорию (если команда начинается с подстроки «cd ..») — будет выполнена команда в интерпретаторе команд Windows, которая будет иметь следующий шаблон: cd /d {current_dir} && {cmd} && cd. В результате выполнения будет получено значение директории, которое будет установлено в глобальную переменную {current_dir}; выполнение произвольной команды в интерпретаторе команд Windows — PhantomRAT выполнит произвольную команду, которая имеет шаблон: cd /d {current_dir} && {cmd}.

Отдельное внимание стоит обратить на команду «install», поскольку она совпадает с командой с идентичным именем, которая была реализована в загрузчике PhantomDL. Это свидетельствует о продолжающейся разработке инструментов и дублировании их возможностей между собой.

PhantomRAT v.3

15 мая, спустя всего неделю с момента обнаружения второй версии PhantomRAT, на VirusTotal был загружен новый семпл PhantomRAT, написанный на языке Golang (md5: b39b8c18a294240eb284787f07206b67), однако он содержал большее число функциональных возможностей, поэтому был классифицирован нами как PhantomRAT версии 3 (v.3). В качестве управляющих серверов в конфигурации указаны IP-адреса:

5.252.176[.]47;
5.252.176[.]129.

В третьей версии были изменены наборы команд, а также, была удалена возможность передать напрямую команду «execute {cmd}», как было реализовано во второй версии, аналогичная команда осталась в задаче-опроснике. Список добавленных и измененных команд, реализованных в третьей версии PhantomRAT приведен в таблице ниже.

Команда	Описание
install {module_name}	Загружает один из трех модулей в зависимости от полученного параметра {module_name}: socks5, persistent или syscall. Каждому модулю соответствует имя файла, которое будет загружено с полученного URL-адреса: socks5 — netcall.exe; persistent — persistent.exe; syscall — syscall.exe. После получения команды будет выполнен RSocket-запрос, в ответ на который приходит URL-адрес. К полученному адресу добавляется имя файла в соответствии с полученным параметром команды. Этот файл загружается и сохраняется в систему по следующему пути: C:\Users\{USERNAME}\AppData\Roaming\Microsoft\Windows\{filename}, где {filename} – это имя файла, соответствующее полученному параметру.
socks5 (start \| stop) {arg}	Выполняет запуск/остановку процессов netcall.exe. socks5 start {arg} — выполняет запуск файла c аргументом запуска по следующему шаблону: C:\Users\{USERNAME}\AppData\Roaming\Microsoft\Windows\netcall.exe {arg}, где {arg} является параметром полученной команды. socks5 stop — завершает все имеющиеся netcall.exe процессы, с помощью выполнения команды taskkill /F /IM netcall.exe На основе анализа файла семпла* и, исходя из названия команды, мы полагаем, что эта команда выполняет запуск/ остановку socks5-proxy. Примечание: * — нам удалось обнаружить семпл (SHA1: 054de0b4c6d02bf9d4cb078e8b02e0e602398c07), который, вероятно, относится к группе PhantomCore и загружается в результате выполнения команды socks5. Данный файл написан на языке Golang и обфусцирован, предположительно, инструментом Garble. Задача файла заключается в поднятии сервера, использующего обработчик socks5-протокола.
persistent(.exe {args})	Выполняет запуск файла по следующему шаблону: C:\Users\{USERNAME}\AppData\Roaming\Microsoft\Windows\{COMMAND}, где {COMMAND} — это полная строка переданной команды. На основе анализа файла persistent.exe мы полагаем, что эта команда используется для создания задачи в планировщике задач Windows и имеет следующий шаблон: persistent.exe {task_name} {filepath} {is_admin} Примечание: — нам удалось обнаружить файл persistent.exe (SHA1: c8671b0f9ce57985c9f0acf6ea6b3e025d44f694), который, вероятно, использовался группой PhantomCore, его анализ приведен за пределами таблицы.
syscall(.exe {args})	Выполняет запуск файла по следующему шаблону: C:\Users\{USERNAME}\AppData\Roaming\Microsoft\Windows\{COMMAND}, где {COMMAND} — это полная строка переданной команды. Примечание: нам не удалось обнаружить файл с названием syscall.exe.

В ходе исследования специалистам F.A.C.C.T. удалось обнаружить файл persistent.exe (SHA1: c8671b0f9ce57985c9f0acf6ea6b3e025d44f694), который, вероятно, использовался группой PhantomCore в качестве инструмента для закрепления необходимых файлов в зараженной системе путем создания задачи в планировщике задач Windows (Task Scheduler). Этот файл, также как и другие инструменты злоумышленников, основан на языке Golang и обфусцирован, предположительно, с помощью Garble. Файл принимает три аргумента запуска: {task_name}, {filepath}, {is_admin}, где:

{task_name} — имя запланированной задачи;
{filepath} — путь к файлу, который будет запускаться созданной запланированной задачей;
{is_admin} — используется для определения действия, по которому будет запускаться задача (BootTrigger или LogonTrigger). Поскольку для создания запланированной задачи, срабатывающей при загрузке системы, необходимо, чтобы процесс был запущен от имени администратора, то инструмент принимает следующие варианты параметра:
0, F, f, False, false, FALSE, (и также любой невалидный параметр) — если права администратора не были получены (тогда созданная задача будет запускаться при авторизации пользователя);
1, T, t, True, true, TRUE — если права администратора были получены (тогда созданная задача будет запускаться при загрузке системы).

После запуска файла с необходимыми параметрами будет создан файл «link.xml» в директории файла, который был передан во втором аргументе ({filepath}). Далее будет выполнена команда для создания задачи в планировщике задач Windows:

cmd.exe /c schtasks -create -tn {task_name} /XML {link_xml_path}.

Действие запланированной задачи имеет следующий шаблон:

pcalua.exe -a {filepath}.

Это означает, что исполняемый файл будет запущен с помощью системной утилиты pcalua.exe (Program Compatibility Assistant).

Файл persistent.exe также содержит функциональные возможности на задание параметра Delay, который отвечает за промежуток времени между срабатыванием триггера и запуском запланированной задачи. Задание данного параметра не регулируется аргументами запуска, и в исследуемом образце захардкожены такие значения, при которых параметр Delay не будет установлен.

PhantomDL v.3

7 июня 2024 года на VirusTotal был загружен файл с именем «№ 10-14-737 от 07.06.2024.pdf .exe», детектируемый нами как загрузчикPhantomDL. По-видимому, файл распространялся в защищенном паролем архиве с именем «№ 10-14-737 от 07.06.2024.pdf.rar», пароль к архиву установить не удалось. Этот образец PhantomDL является третьей версией загрузчика. В предыдущих версиях список поддерживаемых загрузчиком команд включал: bay, install. Однако в обнаруженном семпле список команд обновился и теперь включает:

Команда	Описание
install {filepath}	Команда для загрузки и запуска дополнительного модуля. После получения команды выполняется запрос на узел hxxp://С2/starter, в ответ ожидается URL-ссылка, с которой будет загружен модуль. Загруженный модуль сохраняется в текущем каталоге (в случае если выполнялась команда workdir) или в директории по следующему пути: C:\ProgramData\. Шаблон файлового пути: {workdir}\{filepath}. Если модуль успешно записан в систему, выполняется запрос hxxp://С2/finisher, и PhantomDL запускает модуль.
upload {URL} {filepath}	Команда идентичная команде install, однако URL-ссылка для загрузки модуля передается в качестве аргумента команды, т.е не выполняются запросы hxxp://С2/starter и hxxp://С2/finisher.
execute {cmd}	Команда для запуска указанной команды или файла с помощью интерпретатора команд Windows. Шаблон команды: cmd /c {cmd}.
workdir {path}	Команда для смены активного каталога на указанный, который используется при загрузке файлов на систему в качестве директории для записи загруженного файла (при выполнении команд upload или install).

В качестве C2 злоумышленники используют IP: 5.252.178[.]92. Среди изменений можно отметить, что в новом семпле были такие же названия страниц для отстуков, как и во второй версии, но была добавлена одна новая: «/output». Сравнительная таблица для образцов первых трех известных версий загрузчика представлена ниже.

Назначение	Название страницы для отстука в семпле v1 (md5: 24f3b3ad3b5e6f80b5f2e141fc632cfd)	Название страницы для отстука в семпле v2 (md5: 15333d5315202ea428de43655b598eda)	Название страницы для отстука в семпле v3 (md5: 3d37830d609525000b1b0a0b579ad005b30cbbde)
Начальный запрос	hxxp://188.127.227[.]201/check	hxxp://91.219.151[.]47/ping	hxxp://5.252.178[.]92/ping
Отстук в начале исполнения команды install	hxxp://188.127.227[.]201/start	hxxp://91.219.151[.]47/starter	hxxp://5.252.178[.]92/starter
Отстук после исполнения команды install	hxxp://188.127.227[.]201/end	hxxp://91.219.151[.]47/finisher	hxxp://5.252.178[.]92/finisher
Логирование (на сервер) всех выполненных команд и успешных, и выполненных с ошибкой	—	—	hxxp://5.252.178[.]92/output

1. Атаки PhantomCore на российскую ИТ — организацию

1.1 Первая атака PhantomCore, нацеленная на российскую ИТ — организацию

11 июня системой F.A.C.C.T. Managed XDR была заблокирована вредоносная рассылка, нацеленная на российскую ИТ- организацию. Всего было направлено 7 писем: 5 из которых — на рабочие почты сотрудников, два — на общие почты (отдела продаж и почту, выделенную под продукт). Пример такого письма представлен на рис. 2.

Рис. 2 – письмо из первой рассылки PhantomCore от 11.06.2024, направленное в адрес ИТ-организации

Письма содержали опечатки и грамматические ошибки и рассылались якобы от имени телекомпании «АЙПЭКС». На самом деле, письмо отправлено с инфраструктуры, принадлежащей производителю продуктов бытовой химии.

Вложение к письму — это архив с именем «Трубник_12.06.24.rar», который содержит файл «Трубник_12.06.24.pdf.exe» и легитимный PDF-файл, являющийся приманкой. В других атаках PhantomCore эксплуатировали уязвимость CVE-2023-38831, которая заключается в том, что если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, то будет запущен исполняемый файл, содержащийся в одноименной директории архива. Однако в обнаруженной рассылке атакующие допустили ошибку — они не добавили пробел в названии файла в архиве; для успешной эксплуатации уязвимости файл должен был иметь название «Трубник_12.06.24.pdf .exe». Этот файл имеет такую же хэш-сумму, что и обнаруженный 7 июня образец PhantomDL с именем «№ 10-14-737 от 07.06.2024.pdf .exe», упомянутый выше.

Содержимое документа-приманки представлено на рис. 3.

Рис. 3 – содержимое файла-приманки из атаки#1

Помимо раскрытого образца PhantomDL, с этим же C2-адресом 5.252.178[.]92 также было обнаружено взаимодействие более раннего семпла с именем «Счет_фактура_2491_от_15 мая_2024_г.pdf .exe». Этот файл распространялся в защищенном паролем архиве «Счет_фактура_2491_от_15 мая_2024_г.rar». В качестве пароля использовался: «11112222», который злоумышленники уже применяли в атаке в марте 2024 года.

Цепочка атаки использовалась стандартная, помимо исполняемого файла архив включал две приманки: «Приложение к счет-фактуре № 2491 от 15 мая 2024 г.xls» и «Счет_фактура_2491_от_15 мая_2024_г.pdf», содержимое которых представлено на рисунках 4 и 5.

Рис. 4 — содержимое файла «Приложение к счет-фактуре № 2491 от 15 мая 2024 г.xls»

Рис. 5 — содержимое файла «Счет_фактура_2491_от_15 мая_2024_г.pdf»

Стоит отметить, что содержимое приманок схоже с приманками из атаки, проводимой в начале мая и описанной в предыдущем блоге, в которой злоумышленники также добавили в архив несколько чистых файлов с разными расширениями, а одна из приманок имела похожее название: «Счет-фактура № 258 от 15 мая 2024 г.xls».

1.2 Вторая атака PhantomCore, нацеленная на российскую ИТ- организацию

2 июля системой F.A.C.C.T. Managed XDR была заблокирована вторая вредоносная рассылка, нацеленная на ту же российскую ИТ — организацию. Письмо было отправлено с, вероятно, скомпрометированной инфраструктуры компании по разработке ПО. В получателях были указаны те же 7 адресов, по которым выполнялись рассылки в июньской атаке группировки. Содержимое письма представлено на рис. 6.

Рис. 6 – письмо из второй рассылки PhantomCore от 02.07.2024, направленное в адрес ИТ-организации

Вложение представляет собой защищенный паролем архив, причем пароль прописан в письме: «2024». Архив включает в себя исполняемый файл и легитимный PDF-файл, являющийся документом-приманкой с таким же именем, а также XLS-файл. Содержимое архива представлено на рисунках 7, 8.

Рис. 7 — содержимое архива «Счет-Фактура.rar»

Рис. 8 — содержимое архива «Счет-Фактура.rar»

Приманка представлена на рис. 9.

Рис. 9 — содержимое документа-приманки «Счет-Фактура.pdf»

PhantomCore снова использует уязвимость CVE-2023-38831, эксплуатация которой приводит при открытии PDF файла к запуску исполняемого файла, содержащегося в одноименной директории архива. Файл «Счет-Фактура.pdf .exe» представляет собой загрузчик PhantomDL третьей версии, который использовался в июньской атаке на эту организацию. В качестве C2 злоумышленники используют домен: api.sauselid[.]ru, который был обнаружен нашими специалистами еще в мае 2024 года на основе правила на потенциальную инфраструктуру группы.

Вероятно, на случай, если у цели установлена версия WinRAR 6.23 и выше, а значит, проэксплуатировать уязвимость CVE-2023-38831 не удастся, злоумышленники предусмотрели резервный способ скомпрометировать машину жертвы. Для этого они добавили вредоносный XLS-файл в тот же архив-вложение к письму. XLS-файл содержит обфусцированный VBA, задачей которого является загрузка шеллкода по ссылке и его запуск в контексте собственного процесса. Атакующие используют в сетевом взаимодействии User-Agent = «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)» и загружают шеллкод по ссылке hXXp://{HIDDEN}/en/image.jpg с домена, принадлежащего торговому дому, занимающемуся реализацией продукции металлургического завода. Предположительно, этот домен мог быть скомпрометирован. В ходе исследования нам удалось получить обфусцированный шеллкод, после запуска которого он выполнит распаковку и преобразуется в шеллкод на языке Go, классифицируемый нами как PhantomDL третьей версии. Этот семпл использует в качестве C2: hXXp://5[.]252[.]178[.]92:80.

1.3 Третья атака PhantomCore, нацеленная на российскую ИТ- организацию

Специалисты F.A.C.C.T. Threat Intelligence обнаружили два RAR-архива, загруженных на VirusTotal 4 июля 2024 года и атрибутировали их группе PhantomCore:

архив с вероятным именем «Договор_КХ02_523.rar»;
архив «Расчетная_ведомость_ТН76_309_от_05_07_2024.rar».

Рассмотрим первый архив, который, в отличии от ранее найденных архивов использующихся PhantomCore, не был защищен паролем. Архив содержит следующие файлы:

«Договор_КХ02_523.pdf .exe»;
«Договор_КХ02_523.pdf»;
«Приложеные к договору.xls» — вредоносный файл, хэш от которого совпадает с XLS-файлом с именем «Расчетный.xls» (md5: cd07522eefd59ef7ad2ab1c35d719877) из атаки 1.2, описанной выше.

На случай, если у цели установлена неуязвимая к CVE-2023-3883 версия WinRAR, атакующие внедрили резервный способ доставить PhantomDL на машину жертвы. Злоумышленники использовали XLS-файл (md5: cd07522eefd59ef7ad2ab1c35d719877), задачей которого является загрузка шеллкода PhantomDL. Однако в даты рассылки вместо шеллкода загружался непосредственно сам загрузчик PhantomDL 4 версии в виде исполняемого файла, причем тот же образец, что и должен загружаться в рамках этой атаки при успешной эксплуатации уязвимости (md5: 29b0bf2173c4ddcd7694f5b0745f2b00). Стоит отметить, что после успешной загрузки PhantomDL посредством XLS-файла загрузчик не смог бы запуститься, поскольку сценарий в VBA предназначался для запуска шеллкода с нулевого байта, а не исполняемого файла, который загружался по ссылке в текущей атаке. Подобная ошибка могла возникнуть по одной из нескольких причин:

VBA был полностью скопирован из предыдущей атаки и не был изменен должным образом для корректного запуска подгружаемого исполняемого файла;
на сервер вместо положенного шеллкода по ошибке был загружен исполняемый файл PhantomDL.

Второй обнаруженный архив с именем «Расчетная_ведомость_ТН76_309_от_05_07_2024.rar» защищен паролем и включает в себя файлы:

«Расчетная_ведомость_ТН76_309_от_05_07_2024.pdf .exe»;
«Расчетная_ведомость_ТН76_309_от_05_07_2024.pdf».

В этом случае PhantomCore также эксплуатируют уязвимость CVE-2023-38831, при успешной эксплуатации которой будет запущен исполняемый файл, содержащийся в одноименной директории архива. Файл «Расчетная_ведомость_ТН76_309_от_05_07_2024.pdf .exe» также является 4-й версией PhantomDL.

5 июля 2024 года системой F.A.C.C.T. Managed XDR была заблокирована третья попытка атаковать российскую ИТ-организацию. В текущей рассылке письмо было отправлено с той же почты, что использовалась в первой атаке. Содержимое письма представлено на рис. 10. В получателях те же адреса, по которым выполнялись рассылки в первых двух атаках. А вложение с именем «Расчетная_ведомость_ТН76_309_от_05_07_2024.rar» было описано выше.

Рис. 10 – письмо из третьей рассылки PhantomCore от 05.07.2024, направленное в адрес ИТ-организации

1.4 Другие выявленные связанные рассылки

8 июля злоумышленники провели еще 2 аналогичные рассылки с тем же отправителем, контекстом и вложением. Письма были отправлены в адрес двух организаций:

17 писем на почты сотрудников и общие почты различных отделов одного из российских технопарков;
1 письмо в адрес сотрудника производителя полимерных материалов.

Письма были заблокированы системой Managed XDR.

11 июля на VirusTotal было загружено аналогичное письмо, где в качестве получателя указан почтовый ящик приборостроительного завода.

16 июля на платформу ANY.RUN было загружено письмо, вероятно, ИБ-специалистами российской нефтегазовой компании. В письме сотрудник сообщает о подозрительном письме, полученном 4 июля в адрес компании. В качестве отправителя указан, вероятно, скомпрометированный адрес, принадлежащий компании по разработке и внедрению медицинских технологий. Судя по дате получения, теме и контексту письма, можно предположить, что файл, обнаруженный нами на VirusTotal 4 июля, с именем «Договор_КХ02_523.rar» использовался в качестве вложения.

Рис. 11 – письмо из рассылки PhantomCore от 04.07.2024, направленное в адрес нефтегазовой организации

2. Атаки на лизинговые организации

2.1 Атака группы PhantomCore от 9 июля, направленная на лизинговую организацию

9 июля на VirusTotal был загружен файл «Возврат средств реквизиты.rar» через web-интерфейс из России. Он представляет собой защищенный паролем архив, который мы атрибутировали к группе PhantomCore. Нам удалось подобрать используемый пароль для архива: «0807».

Рис. 12 – содержимое архива «Возврат средств реквизиты.rar»

Рис. 13 – содержимое архива «Возврат средств реквизиты.rar»

Архив включает в себя исполняемый файл и пустой PDF-файл, являющийся документом-приманкой с таким же именем. Файл «Возврат средств реквизиты.pdf .exe» представляет собой загрузчик PhantomDL четвертой версии (v.4). Как и прошлые семплы PhantomDL, обнаруженный семпл обфусцирован, предположительно, с помощью Garble. Однако в данном случае образец дополнительно упакован с помощью публичного инструмента UPX. В качестве C2 злоумышленники использовали тот же домен, что и в атаке от 5 июля: api.wilbderreis[.]ru.

В этот же день специалистами F.A.C.C.T. было обнаружено подозрительное письмо, отправленное с, вероятно, скомпрометированного адреса, с которого ранее уже осуществлялось множество рассылок группой PhantomCore. Письмо с темой «Возврат средств» рассылалось 9 июля в адрес агропромышленной лизинговой компании. Вложение было удалено средствами защиты организации, но после его восстановления оказалось, что рассылался файл «Возврат средств реквизиты.rar», описанный выше.

Рис. 14 — письмо из рассылки PhantomCore от 09.07.2024, направленное в адрес агропромышленной лизинговой компании

2.2 Атака от 10 июля, нацеленная на лизинговые компании

10 июля системой F.A.C.C.T. Managed XDR была заблокирована рассылка группы PhantomCore, нацеленная на российскую лизинговую компанию. В копии был обнаружен адрес еще одной лизинговой компании. Содержимое письма представлено на рис. 15.

Рис. 15 — письмо из рассылки PhantomCore от 10.07.2024, направленное в адрес двух лизинговых компаний

Письмо отправлено с адреса сотрудника, вероятно, скомпрометированной строительной компании.

Вложение — защищенный паролем архив с именем «Счет-Фактура.rar», пароль: «1007» указан в теле письма и совпадает с датой проведения рассылки. Архив содержит следующие файлы:

«Счет-Фактура.pdf .exe»;
«Счет-Фактура.pdf».

Такие же имена для файлов использовались во второй атаке на IT-компанию, проводимой 2 июля. Кроме того, разворачивается загрузчик той же (четвертой) версии, и используется тот же управляющий сервер, что и применялись группой в третьей атаке на IT-организацию.

Стоит отметить, что 11 июля на VirusTotal было загружено то же письмо, что и во второй рассылке, направленной на лизинговые компании, но в качестве получателя был указан сотрудник механического завода.

Заключение

Злоумышленники PhantomCore проводят массовые рассылки, порой допуская мелкие ошибки, что не позволяет запустить цепочку атаки. Однако они демонстрируют свою настойчивость, проводя за короткое время несколько атак с разными легендами в адрес одних и тех же организаций. Нельзя не отметить скорость разработки атакующих: они постоянно совершенствуют свои инструменты, пытаясь минимизировать вероятность обнаружения.

На момент публикации этого отчета мы уже детектируем очередную волну разработок PhantomCore. В частности, наши специалисты выявили семпл модифицированного загрузчика PhantomDL, переписанный на язык программирования C++.

Индикаторы компрометации

Файловые индикаторы

splwow.exe

MD5: 16f97ec7e116fe3272709927ab07844e
SHA-1: 9ab4d91d3db34431f451106ede4f0ed5b163ce94
SHA-256: 5d924a9ab2774120c4d45a386272287997fd7e6708be47fb93a4cad271f32a03

—

MD5: b39b8c18a294240eb284787f07206b67
SHA-1: a9f353addbd75e252b5169ff1ba8e7ea25a31350
SHA-256: dc3e4a549e3b95614dee580f73a63d75272d0fba8ca1ad6e93d99e44b9f95caa

—

MD5: 3f7247b1d51ce401a9a5c3ded5eae037
SHA-1: 054de0b4c6d02bf9d4cb078e8b02e0e602398c07
SHA-256: 0a8fc6eb35192fe47a4ab555520d11262fd947c52f50a9b89e1a3056ded611b5

persistent.exe

MD5: 92700e94b9df1a6d0170f88b9c02559a
SHA-1: c8671b0f9ce57985c9f0acf6ea6b3e025d44f694
SHA-256: 99ba40be83f5c32ead25fcc47c396c6f732aac4f9e8e327d1b1f0a69c83e8784

persistent.exe

MD5: c0274bb9b63b71fc9927ad1c5183c111
SHA-1: 820e1da9c1cbc5c3e2312e0f77e1358fa74441ed
SHA-256: acce8468c0a4659de69e1219e12a9b53f18d658222d69e3e8425e2e0cae3b34e

№ 10-14-737 от 07.06.2024.pdf.rar

MD5: 0923007c8b1dbcd4e157a39b8c5f52dd
SHA-1: cbcb4a9dc33d59c3cce9189159738bf3e3ef0581
SHA-256: efc17d11bf4c841294b04fca6c9bfd587422afef4ed801f2401191243926909c

№ 10-14-737 от 07.06.2024.pdf .exe / Трубник_12.06.24.pdf.exe

MD5: 766fbef394982fb1a355d527aa307aca
SHA-1: 3d37830d609525000b1b0a0b579ad005b30cbbde
SHA-256: 2ad11e86e07b6ae430bceecb6c4f9329d655e495c674360f1a0308f88b4f6422

Трубник_12.06.24.rar

MD5: 3e8ff6a3d5d62db259dfa469a25ac479
SHA-1: 6e91735d2998ce27fc609b698e6d5fa32327806e
SHA-256: 00fce9cf81cb7bd2dad9b708d47453b1b9ea3cb64db06cc6854ed561a8d2b853

Счет_фактура_2491_от_15 мая_2024_г.rar

MD5: f38def8c6539d4b052b931e1f17fb9d9
SHA-1: deecc82d173fb593b16c5364a540406bc628c5d0
SHA-256: 095a1dbd36d667faef72bf0268716cc5f16b9aa4c0b1e5affc213d6ed0c91b16

Счет_фактура_2491_от_15 мая_2024_г.pdf .exe

MD5: 6a26be58193e9aed6a76d5a34d829d9a
SHA-1: ad400fa71e32a77d28d25a51ef654b96b9e70cd7
SHA-256: 4d65d0c265b93ea615bf73cb44ee8526f7a89d24bf9d5b6274738079d13f74c2

Счет-Фактура.rar

MD5: e5e648376dc50e1fec29648c4c86a51f
SHA-1: d8a6f157ec9f64423d2f312f43f34243fcdcdc63
SHA-256: 69785e4b348f43214ea3ddaa1c1f4c46540eff22a6ab601f3d057ec133d6cb31

Счет-Фактура.pdf .exe

MD5: 8c9617ddc6d371264a7026777e3cdcc9
SHA-1: 1dc238c18b8c2cb877c0b47ea1f45bbc45e6618b
SHA-256: 9fc80601f66959954dc3d773523a575926a831ab6b9249a3c8814fe04e7b1e86

Расчетный.xls / Приложеные к договору.xls

MD5: cd07522eefd59ef7ad2ab1c35d719877
SHA-1: 95912889070846cc1a192c0201bbca30a151af3c
SHA-256: e1ee389b2af2d3a0eff4aa14f2ac3de6cdd4a73de80b5d450a44ec69cd332dbf

Договор_КХ02_523.rar

MD5: 35ac8c2975a39c20d3d4a27ab483c1c5
SHA-1: 0898aa2ab40f8b2a4ee69c0f4c1ab734112252aa
SHA-256: 0d00e6f7e580b9ac7ae01ca79fe100064a4db4c9a0ec938a14d6077c59566d5c

Расчетная_ведомость_ТН76_309_от_05_07_2024.rar

MD5: 3d8c9469aeaed552f91953e3c6a38ad1
SHA-1: c95af0a64db5e3de56d7da9f0a8a009fd070db70
SHA-256: d6f6dca0a90e6be22251e6a7a2e74202f987652a58c7d8ab1c35abc53856c979

Расчетная_ведомость_ТН76_309_от_05_07_2024.pdf .exe

MD5: b179a0bca2103fe51d8351fe3f7bab45
SHA-1: 88f17461539478415877eef9ec25942a1b93cf96
SHA-256: 89ada20be17c37d143ae33a0114d6f6dc95bde5318e9e2f5e165361caf0b02de

Договор_КХ02_523.pdf .exe

MD5: 29b0bf2173c4ddcd7694f5b0745f2b00
SHA-1: 8694ac5900585c0e53fb0c9caae8852fe6408141
SHA-256: 80731db97c33b50cd3d8727decec7e6a12bbf5f671527648c4cbb559fabc3074

Возврат средств реквизиты.rar

MD5: 2799415007628a4647071aeadfbf007a
SHA-1: f462688070566965badecc6ed9f46d053c73fdf9
SHA-256: 9f5b780c3bd739920716397547a8c0e152f51976229836e7442cf7f83acfdc69

Возврат средств реквизиты.pdf .exe

MD5: 55239cc43ba49947bb1e1178fb0e9748
SHA-1: 17f6119755f80fb0308bb9aaa77b6706e5649edc
SHA-256: 5a3c5c165d0070304fe2d2a5371f5f6fdd1b5c964ea4f9d41a672382991499c9

Счет-Фактура.pdf .exe

MD5: 0e14852853f54023807c999b4ff55f64
SHA-1: 508b88a1cdc936be6da3d58a7ea6c82b491956ee
SHA-256: 5192a92730e5eee19dea67ba65ec4ed8eaab4314b389faa44ea051290a4b4a66

Счет-Фактура.pdf .exe

MD5: 99b0f80e9ae2f1fb15bfe5f068440ab8
SHA-1: a27c67cec10295f27c660e25ee00648d77300a01
SHA-256: 22eb1e647e4c5f7f0d0dcc45af02d5ac44e270ed067ca1eed504692f80014bc6

Счет-Фактура.rar

MD5: 2c5657e031e31f394ca44b59b56c2cb5
SHA-1: def73b13ac655e23a1eaf067f8fbece9f9352f92
SHA-256: ab794f229cdfd35172a3dfb882e6760ae4d11bade704e0636b9cfae9ba150da1

Счет-Фактура.rar

MD5: 77096dc3c1c8f80d473cc49f591e3200
SHA-1: 2cfbed821cc7f7ebba7f3e940e37038020c346bf
SHA-256: c189459a6c9e56fa61851f17b3de87ace9c6accf96a7d19e206476e46ab2e466

Сетевые индикаторы

linualsut[.]ru
sdufho[.]ru
jaudyoyh[.]ru
sauselid[.]ru
api.sauselid[.]ru
api.wilbderreis[.]ru
45.11.27[.]232
5.252.176[.]47
5.252.176[.]129
5.252.178[.]92
94.131.113[.]79
hxxp://5.252.178[.]92/ping
hxxp://5.252.178[.]92/starter
hxxp://5.252.178[.]92/finisher
hxxp://5.252.178[.]92/output
hxxp://api.sauselid[.]ru:80/ping
hxxp://api.sauselid[.]ru:80/starter
hxxp://api.sauselid[.]ru:80/output

MITRE ATT&CK

ТАКТИКИ	ТЕХНИКИ	ПРОЦЕДУРЫ
Resource development (TA0042)	Develop Capabilities: Malware (T1587.001)	PhantomCore используют новые версии PhantomRAT на Go (v.2 и v.3) и обновленный PhantomDL (v.3 и v.4).
	Acquire Infrastructure: Domains(T1583.001)	PhantomCore регистрируют домены и используют их в качестве управляющих серверов.
	Compromise Infrastructure (T1584)	PhantomCore используют XLS-файл, содержащий обфусцированный VBA, который загружает шеллкод по URL-адресу, принадлежащему скомпрометированной организации. PhantomCore использует легитимную, вероятно, скомпрометированную инфраструктуру для проведения рассылок.
Initial Access (TA0001)	Phishing: Spearphishing Attachment (T1566.001)	PhantomCore используют электронные письма, которые содержат вложенный архив, защищенный паролем.
Initial Access (TA0001)	Trusted Relationship (T1199)	PhantomCore используют инфраструктуру легитимной компании для отправки письма от ее имени и для размещения следующей стадии, которая была доступна по ссылке из отправленного письма.
Execution (TA0002)
	Command and Scripting Interpreter: Windows Command Shell (T1059.003)	PhantomCore используют вредоносное ПО PhantomRAT, которое может использовать cmd.exe для выполнения команд на зараженной системе. PhantomCore используют загрузчик PhantomDL, который выполняет команду: cmd.exe /c «echo %USERDOMAIN%».
	Command and Scripting Interpreter: Visual Basic (T1059.005)	PhantomCore используют XLS-файл, содержащий VBA-сценарий, предназначенный для загрузки и запуска PhantomDL в памяти собственного процесса.
	Exploitation for Client Execution (T1203)	PhantomCore используют вариацию уязвимости CVE-2023-38831 для запуска вредоносного файла в архиве, после того как пользователем будет запущен легитимный PDF-файл.
	User Execution: Malicious File (T1204.002)	PhantomCore рассылают защищенный паролем RAR-архив, эксплуатирующий уязвимость CVE-2023-38831.
Persistence (TA0003)	Scheduled Task/Job: Scheduled Task (T1053.005)	PhantomCore используют PhantomRAT v.3, который по команде «persistent» запускает исполняемый файл, использующийся для создания задачи в планировщике задач Windows.
Privilege-escalation (TA0004)	Scheduled Task/Job: Scheduled Task (T1053.005)	PhantomCore используют PhantomRAT v.3, который по команде «persistent» запускает исполняемый файл, использующийся для создания задачи в планировщике задач Windows.
Privilege-escalation (TA0004)	Process Injection: Process Hollowing (T1055.012)	PhantomCore используют XLS-файл, содержащий VBA-сценарий, предназначенный для загрузки и запуска PhantomDL в памяти собственного процесса.
Defense evasion (TA0005)	Process Injection: Process Hollowing (T1055.012)	PhantomCore используют XLS-файл, содержащий VBA-сценарий, предназначенный для загрузки и запуска PhantomDL в памяти собственного процесса.
	Masquerading: Double File Extension (T1036.007)	PhantomCore используют двойные файловые расширения. В случае PhantomCore, двойные расширения необходимы для эксплуатации уязвимости CVE-2023-38831.
	Obfuscated Files or Information (T1027)	PhantomCore используют, предположительно, утилиту garble для обфускации вредоносных программ. PhantomCore используют обфусцированный VBA в XLS-файле.
	Indirect Command Execution (T1202)	PhantomCore используют PhantomRAT v.3, который создаст запланированную задачу с целью запуска следующей стадии через инструмент системы — pcalua.exe (Program Compatibility Assistant).
Discovery (TA0007)
Discovery (TA0007)	System Information Discovery (T1082)	PhantomCore используют загрузчик PhantomDL для получения названия домена или компьютера, если он не в домене.
Command and Control (TA0011)	Application Layer Protocol (T1071)	PhantomCore используют загрузчик PhantomDL v.3, который взаимодействует с управляющим сервером через HTTP-протокол.
	Proxy: External Proxy (T1090.002)	PhantomCore используют PhantomRAT, который по команде socks5 (start \| stop) {arg} выполняет запуск/остановку socks5-proxy.
	Multi-Stage Channels (T1104)	PhantomCore используют загрузчик PhantomDL и троян удаленного доступа PhantomRAT, которые по команде «install» получают от управляющего сервера URL-адрес для загрузки следующей стадии (нагрузки).
	Ingress Tool Transfer (T1105)	PhantomCore используют вредоносное ПО PhantomRAT, которое имеет возможность загрузки файлов на зараженную систему с помощью команды «upload». PhantomCore используют загрузчик PhantomDL для загрузки следующей стадии (нагрузки).
Exfiltration (TA0010)	Exfiltration Over C2 Channel (T1041)	PhantomCore используют вредоносное ПО PhantomRAT, которое может выполнять эксфильтрацию файлов на C2-сервер.