FACCT 威胁情报部门的专家发现了一个名为 PhantomCore 的新黑客组织。自 2024 年 1 月以来,该组织一直使用一种独特的、以前未知的远程访问木马 PhantomRAT 积极攻击俄罗斯公司。
PhantomCore 攻击从包含受密码保护的 RAR 存档的网络钓鱼电子邮件开始。档案的密码直接在信中注明。在档案中,攻击者利用 WinRAR 漏洞的新变体 (CVE-2023-38831),其中使用 RAR 档案而不是 ZIP。
PhantomCore 组发送的网络钓鱼电子邮件示例
档案本身包含一个 PDF 文档和一个可执行文件所在的同名目录。当您尝试打开 PDF 时,会启动恶意可执行文件。最后发现的阶段是 PhantomRAT 远程访问木马。该组织还使用 .NET 应用程序和单文件部署选项,使检测受感染的系统变得困难。
到目前为止,攻击的动机尚未明确,但从目标和方式来看,很可能是网络间谍活动。有趣的是,其中一个旨在测试 PhantomRAT 版本的文件于 2024 年 2 月 26 日从基辅首次上传到 VirusTotal。乌克兰还发布了另外两个独特的 PhantomCore 恶意软件的测试样本。
据 FACCT预测 ,2024年俄罗斯企业和政府机构面临的主要网络威胁将是勒索者、网络间谍、破坏者和寻找数据库的黑客活动分子。
该公司的博客 上提供了有关新组织首次攻击的详细信息以及妥协指标 。
发表评论
您还未登录,请先登录。
登录