Компания Cyble провела анализ кампании Head Mare, члены которой известны своими хактивистскими атаками на Россию. В рамках этой кампании используются ZIP-архивы, которые содержат обманные LNK-файлы и исполняемые файлы. LNK-файлы содержат команды для извлечения и выполнения замаскированных файлов, идентифицированных как PhantomCore. Этот бэкдор, созданный группой Head Mare, собирает информацию о целях и может развертывать различные вредоносные программы, включая ransomware.
Head Mare APT
Группа Head Mare известна своими атаками с 2023 года и часто выбирает в качестве целей российские организации. В предыдущих атаках использовались двоичные файлы PhantomCore, скомпилированные на GoLang, однако в этой кампании используется версия, скомпилированная на C++. Кроме того, злоумышленник (TA) интегрировал библиотеку Boost.Beast в PhantomCore для обеспечения связи с сервером командно-контроль.
PhantomCore сначала собирает информацию о жертвах, включая публичный IP-адрес, и затем выполняет дополнительные команды на скомпрометированной системе. Известно, что в предыдущих случаях PhantomCore развертывал полезную нагрузку ransomware, такую как LockBit и Babuk, нанося значительный ущерб системам жертв.
В отчете также указывается, что группа Head Mare использует современные тактики, например, эксплуатацию уязвимости WinRAR, для получения доступа к системам. Они нападают на представителей разных отраслей, включая правительство, транспорт, энергетику, производство и развлечения, и требуют выкуп за расшифровку данных.
Анализ ZIP-архива, связанного с этой кампанией, указывает на то, что он мог быть доставлен жертве через спам-сообщение с приложенным архивом. Внутри архива содержатся LNK-файлы, которые маскируют исполняемые файлы, а также поврежденный PDF-файл. LNK-файлы запускают команды PowerShell для извлечения и запуска файлов, после чего вредоносная программа начинает собирать информацию о жертвах и отправлять ее на C&C сервер.
Анализ также указывает на то, что Head Mare ранее использовала GoLang для создания PhantomCore, но теперь они переключились на C++. Это позволяет им использовать библиотеку Boost.Beast для связи с сервером C&C через HTTP WebSockets.
Таким образом, кампания Head Mare продолжает свои хактивистские атаки на Россию, используя обманные ZIP-архивы с исполняемыми файлами PhantomCore. Их целью является нанесение максимального ущерба, а не финансовая выгода, и они требуют выкуп за расшифровку данных. Группа Head Mare использует современные тактики, такие как эксплуатация уязвимостей, и они выбирают в качестве целей организации разных отраслей, включая правительство, транспорт и энергетику.
Indicators of Compromise
URLs
- http://185.80.91.84/check
- http://185.80.91.84/command
- http://185.80.91.84/connect
- http://185.80.91.84/init
- http://45.10.247.152/check
- http://45.10.247.152/command
- http://45.10.247.152/connect
- http://45.10.247.152/init
- http://45.87.245.53/check
- http://45.87.245.53/command
- http://45.87.245.53/connect
- http://45.87.245.53/init
- https://city-tuning.ru/collection/srvhost.exe
- https://filetransfer.io/data-package/AiveGg6u/download
SHA256
- 0f578e437f5c09fb81059f4b5e6ee0b93cfc0cdf8b31a29abc8396b6137d10c3
- 1a2d1654d8ff10f200c47015d96d2fcb1d4d40ee027beb55bb46199c11b810cc
- 2dccb526de9a17a07e39bdedc54fbd66288277f05fb45c7cba56f88df00e86a7
- 44b1f97e1bbdd56afeb1efd477aa4e0ecaa79645032e44c7783f997f377d749f
- 4b62da75898d1f685b675e7cbaec24472eb7162474d2fd66f3678fb86322ef0a
- 57848d222cfbf05309d7684123128f9a2bffd173f48aa3217590f79612f4c773
- 6ac2d57d066ef791b906c3b4c6b5e5c54081d6657af459115eb6abb1a9d1085d
- 8aad7f80f0120d1455320489ff1f807222c02c8703bd46250dd7c3868164ab70
- 9df6afb2afbd903289f3b4794be4768214c223a3024a90f954ae6d2bb093bea3
- dd49fd0e614ac3f6f89bae7b7a6aa9cdab3b338d2a8d11a11a774ecc9d287d6f
