Обнаружен и атрибутирован ранее неизвестный загрузчик группе PhantomCore

14.05.2024
С марта 2024 года специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (или PhantomGoDownloader).

Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых эксперты с высокой долей уверенности атрибутировали PhantomDL к этой же группировке.

Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Эксперты полагают, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.

В конце марта специалисты F.A.C.C.T Threat Intelligence обнаружили на платформе VirusTotal исполняемый файл с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» и запароленный RAR-архив «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar». Исследователям удалось сбрутить используемый пароль для архива: «11112222». Оказалось, что архив включает в себя указанный исполняемый файл и легитимный PDF-файл, являющийся документом-приманкой с таким же именем.

Документ-приманка содержит информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.

Злоумышленники эксплуатируют вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.

Обнаруженный исполняемый файл является загрузчиком, написанным на языке Go, для обфускации которого, предположительно, использовалась утилита garble.

Помимо этого, 26 марта на VirusTotal был загружен еще один архив с паролем «11112222», содержащий файлы:

  • «Информация по договору.pdf .exe» — загрузчик на Go с той же хэш-суммой, что и файл «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» (SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c); 
  • «Информация по договору.pdf» – легитимный PDF-файл, являющийся документом-приманкой. Отметим, что само содержимое документа-приманки не соответствует его названию.

Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика нашим специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило получить название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.

Очевидно, что группа PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к наступлению. Если в первых атаках злоумышленники использовали простой загрузчик PhantomCore.Downloader, а специалисты обнаруживали в публичных песочницах тестовые образцы, то уже спустя месяц с момента обнаружения произошел переход к более сложному загрузчику PhantomDL.

Отдельно стоит отметить, что злоумышленники используют качественные документы-приманки, содержимое которых может свидетельствовать о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.

Читайте также
Электронные подписи прочно вошли в реалии бизнеса и решают множество задач. IT-World рассказывает об основных понятиях и процессах, связанных с усиленными подписями.

Похожие статьи