PhantomCore APT IOCs

security IOC
Опубликовано

Специалисты F.A.C.C.T. обнаружили новую группу кибершпионажа под названием PhantomCore, которая действует с января 2024 года. Группа использует уникальный троян удаленного доступа (RAT) под названием PhantomRAT. Первоначальный вектор атаки заключается в рассылке фишинговых писем российским компаниям, которые содержат защищенные паролем архивы RAR. Пароль указывается в теле письма. Злоумышленники используют разновидность уязвимости WinRAR, CVE-2023-38831, но вместо ZIP-архивов они используют RAR-архивы. Архивы содержат PDF-документ и одноименную директорию, в которой находится вредоносный исполняемый файл. При открытии PDF-документа запускается вредоносный исполняемый файл, который устанавливает на систему жертвы троян PhantomRAT.

PhantomCore

PhantomCore использует .NET-приложения с однофайловыми вариантами развертывания, что затрудняет его обнаружение на зараженных системах. 8 февраля 2024 года специалисты F.A.C.C.T. обнаружили фишинговые письма, отправленные группой. Письма содержали информацию о контракте и прикрепленный архив, защищенный паролем. Архив, названный "Contract #771-86.rar", содержал PDF-документ и одноименную директорию. При открытии PDF-документа запускался вредоносный исполняемый файл. Если у пользователя установлен WinRAR версии 6.23 или выше, он увидит легитимный PDF-файл, содержащий "Акт согласования". Однако если у пользователя более низкая версия WinRAR, будет запущен вредоносный исполняемый файл.

Исполняемый файл под названием "Contract #771-86.pdf .exe" представляет собой приложение .NET с опцией однофайлового развертывания. Это приложение содержит вредоносную программу PhantomCore.Downloader, которая отвечает за загрузку и запись файлов в систему. Загруженный файл сохраняется по пути %AppData%\Microsoft\Windows\EventManager.exe. Вредоносная программа создает запланированную задачу, чтобы заблокировать себя на зараженной системе и обеспечить постоянство. Задача по расписанию создается с помощью заранее подготовленного XML-файла и команды schtasks.

Загруженный файл EventManager.exe также представляет собой приложение .NET с возможностью развертывания одним файлом. Этот файл содержит вредоносную программу PhantomRAT, которая представляет собой троян удаленного доступа на базе .NET. Троян PhantomRAT обладает такими возможностями, как загрузка и выгрузка файлов с сервера командного управления (C2) и на него, а также выполнение команд в приглашении командной строки cmd.exe. Для связи с сервером C2 он использует протокол RSocket.

Таким образом, группа кибершпионажа PhantomCore действует с января 2024 года, используя уникальный троян удаленного доступа под названием PhantomRAT. Они эксплуатируют разновидность уязвимости WinRAR и используют фишинговые письма с защищенными паролем архивами RAR в качестве начального вектора атаки. Группа использует приложения .NET с однофайловыми вариантами развертывания, чтобы затруднить обнаружение их присутствия на зараженных системах. Троян PhantomRAT способен скачивать и загружать файлы на сервер C2 и с него, а также выполнять команды в командной строке.

Indicators of Compromise

URLs

  • hxxps://filetransfer.io/data-package/hmiQV0vH/download
  • hxxps://filetransfer.io/data-package/sxb66DYM/download
  • hxxps://filetransfer.io/data-package/x250yuoZ/download
  • tcp://cabinet-yandex.info:7000/
  • tcp://games.cabinet-company.info:7000/
  • tcp://ugroteches.ru:80/
  • tcp://wheelprom.ru:80/

MD5

  • 25e491710ba6a484d131dbcfeebc9d04
  • 32a8930dc063456554d8101df5e3b34a
  • 3ff20f253602421de249d9712a64296b
  • 5499c3d26aed69638b820217d8dbe6e5
  • 7c762bf2b4ce0a799979feab588f4bc4
  • 92d5ddf10b6a589dae89aedf79451bcd
  • 94d246e82bfe0f3ec77d9c6a5fba9624
  • b03256a6a7bc3df5ef7c19c7ff4108ed
  • b1caf2304b06d5e55657f72898c6136f
  • d351104bdfd06263baf8eaf404834da1
  • e286f2124141bd8d795835281e0021b0
  • e754a0662903469eaf0884438d035174

SHA1

  • 1b0c9953b2aff3fcbd863555a8946a1923e002c1
  • 1e8b9fe5e4ebfd06342f037be7f99c0c5d22aba6
  • 2f0a5ed5c845bb321f3163369640f3d36d7b2e2f
  • 4d5c661e3ff1796930bcdc95b901083fa1db5358
  • 59c4b5587cd1f18ba8aee66d73328667d824acfd
  • 676e26cb3ce9a1cd2cf5f0f5184f802553d7a324
  • 85beb37a0215ea4e99d7b30fb5590d6e10c0a805
  • a0e42178635d41012709392afda965cbc9973fb6
  • b8603bce890686f1ed9a1e0795e82e7ea6c43424
  • d57924e70fec2032d0faac191df21b4c6396733d
  • edbb1735760db06a11039b42ddc68db7cda9cdc8
  • fbcf21464ec9ffcef8bdd0022706d9fd8ccd975e

SHA256

  • 0f1e2476494cfb1a77cecadafc287935c1e3b9d20b42f14bb91add4a3ef86efd
  • 139c9608aec0d4d80a10d15e39c7de38910197eda67f4b2033019d08862cf63d
  • 26c74d7b2fe32bc9b05ab823b84b84536b49ef9b78482054dc60fae8ae3b92ee
  • 3f1271e3fd2d0032b496e5676dc361ceb54394807d37ddd5c1abba044dbbe9cd
  • 601112e8009955ec75fb13235d110c64fe4bdd8b42d9142e14dffc0e19656588
  • 7881082217ff9d5a737b071fa57bef7749076b60fdeb402f353b5f4875cb56b6
  • 7e862f1563bc3b7341557567745d23500682e78db1e920ecc09647286744a203
  • 7ef0b7dc9ead8bbef4d3e14c63ef85acb9cbfd5cf9b22284e02f05103a009de5
  • c31cbfac1e20fc4270ebc997b3f18223dae6e2bb97b6a7c65a3e2706b38df5eb
  • d4d76f3d7a5597b3eb7feffe0daca838611fce7419a46484e99e3b4aef5516af
  • e5311166ae01605ae591533d128b501aec910bf53e77308504bbf9f33e036a63
  • f4f34b52b7fb2f49800cd5c72b410fc8ab270604216fe2c2afec718d7e18561a

Похожие записи:

  1. Sticky Werewolf APT IOCs - Part 2
  2. DCRat (Dark Crystal Rat) IOC
  3. Transparent Tribe (CrimsonRAT) Malware IOC
  4. Borat RAT (Remote Access Trojan) IOC
  5. Remcos RAT (Remote Access Trojan) IOC
CVE-2023-38831 F.A.C.C.T. PhantomCore PhantomRAT Rat
Добавить комментарий