带有乌克兰痕迹的 Phantom 黑客使用新木马攻击俄罗斯

阅读量39399

发布时间 : 2024-03-27 11:00:21

FACCT 威胁情报部门的专家发现了一个名为 PhantomCore 的新黑客组织。自 2024 年 1 月以来,该组织一直使用一种独特的、以前未知的远程访问木马 PhantomRAT 积极攻击俄罗斯公司。

PhantomCore 攻击从包含受密码保护的 RAR 存档的网络钓鱼电子邮件开始。档案的密码直接在信中注明。在档案中,攻击者利用 WinRAR 漏洞的新变体 (CVE-2023-38831),其中使用 RAR 档案而不是 ZIP。

PhantomCore 组发送的网络钓鱼电子邮件示例

 

档案本身包含一个 PDF 文档和一个可执行文件所在的同名目录。当您尝试打开 PDF 时,会启动恶意可执行文件。最后发现的阶段是 PhantomRAT 远程访问木马。该组织还使用 .NET 应用程序和单文件部署选项,使检测受感染的系统变得困难。

到目前为止,攻击的动机尚未明确,但从目标和方式来看,很可能是网络间谍活动。有趣的是,其中一个旨在测试 PhantomRAT 版本的文件于 2024 年 2 月 26 日从基辅首次上传到 VirusTotal。乌克兰还发布了另外两个独特的 PhantomCore 恶意软件的测试样本。

据 FACCT预测 ,2024年俄罗斯企业和政府机构面临的主要网络威胁将是勒索者、网络间谍、破坏者和寻找数据库的黑客活动分子。

该公司的博客 上提供了有关新组织首次攻击的详细信息以及妥协指标 。

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/547035.php

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66