Группа исследователей кибербезопасности SentinelLABS совместно с Digital Security Lab of Ukraine раскрыла скоординированную кампанию таргетированного фишинга, нацеленную на сотрудников международных гуманитарных организаций и украинских государственных учреждений. Атака, получившая название PhantomCaptcha, демонстрирует высокий уровень подготовки злоумышленников и сложную многоступенчатую архитектуру.
Описание
Целями злоумышленников стали сотрудники Международного комитета Красного Креста, Детского фонда ООН (UNICEF), Норвежского совета по беженцам, Реестра ущерба Совета Европы для Украины, а также региональных администраций Донецкой, Днепропетровской, Полтавской и Николаевской областей. Особое беспокойство вызывает тот факт, что атака была направлена против организаций, участвующих в оказании помощи в условиях войны.
Атака началась 8 октября 2025 года с рассылки электронных писем, маскирующихся под официальные сообщения от имени Офиса президента Украины. Сообщения содержали вредоносный PDF-документ, который внешне выглядел как легитимное правительственное сообщение. При открытии документа и переходе по встроенной ссылке жертвы перенаправлялись на поддельную страницу проверки Cloudflare с имитацией капчи.
Исследователи обнаружили, что основная инфраструктура атаки на домене zoomconference[.]app работала всего одни сутки, что свидетельствует о тщательном планировании операции и стремлении злоумышленников минимизировать время обнаружения. При этом подготовка к кампании велась на протяжении шести месяцев, начиная с марта 2025 года.
Особенностью атаки стало использование социальной инженерии по схеме "Paste and Run" (вставь и запусти), когда пользователю предлагается скопировать и выполнить команду в диалоговом окне "Выполнить" Windows. После нажатия на флажок "Я не робот" появлялось всплывающее окно на украинском языке с инструкцией скопировать токен и вставить его в системный диалог. Реализованная функция copyToken() помещала в буфер обмена команду PowerShell, которая загружала и выполняла следующий этап вредоносной нагрузки.
Многоступенчатая схема доставки вредоносного кода включала три этапа. Первый этап представлял собой сильно обфусцированный PowerShell-скрипт размером более 500 КБ, основная функция которого сводилась к загрузке второй стадии. Второй этап выполнял сбор системной информации и отключение журналирования команд PowerShell. Финальная нагрузка представляла собой бэкдор на основе WebSocket, обеспечивающий удаленное выполнение команд и exfiltration данных.
Анализ инфраструктуры показал, что домены кампании были размещены на российском хостинг-провайдере KVMKA. Исследователи также обнаружили связь с дополнительным вектором атаки через мобильные устройства, где распространялось поддельное Android-приложение, собирающее геолокацию, контакты, медиафайлы и другую информацию с компрометированных устройств.
Эксперты отмечают возможную связь кампании с группой COLDRIVER. Однако окончательная атрибуция требует дополнительного расследования.
С точки зрения защиты, специалисты рекомендуют организациям усилить мониторинг выполнения команд PowerShell и WebSocket-соединений к подозрительным доменам. Повышение осведомленности пользователей о методиках социальной инженерии "Paste and Run" также может помочь в предотвращении подобных атак.
Кампания PhantomCaptcha демонстрирует растущую изощренность киберпреступников, целенаправленно атакующих гуманитарные организации в зонах конфликтов. Использование кратковременной инфраструктуры, сложной обфускации и многоэтапной схемы доставки делает обнаружение и анализ таких угроз особенно сложной задачей для специалистов по безопасности.
Индикаторы компрометации
IPv4
- 167.17.188.244
- 185.142.33.131
- 193.233.23.81
- 45.15.156.24
- 91.149.253.134
- 91.149.253.99
Domains
- bsnowcommunications.com
- goodhillsenterprise.com
- lapas.live
- princess-mens.click
- princess-mens-club.com
- zoomconference.app
- zoomconference.click
SHA256
- 07d9deaace25d90fc91b31849dfc12b2fc3ac5ca90e317cfa165fe1d3553eead
- 19bcf7ca3df4e54034b57ca924c9d9d178f4b0b8c2071a350e310dd645cd2b23
- 21bdf1638a2f3ec31544222b96ab80ba793e2bcbaa747dbf9332fb4b021a2bcd
- 3324550964ec376e74155665765b1492ae1e3bdeb35d57f18ad9aaca64d50a44
- 4bc8cf031b2e521f2b9292ffd1aefc08b9c00dab119f9ec9f65219a0fbf0f566
- 55677db95eb5ddcca47394d188610029f06101ee7d1d8e63d9444c9c5cb04ae1
- 5f42130139a09df50d52a03f448d92cbf40d7eae74840825f7b0e377ee5c8839
- 6f9a7ab475b4c1ea871f7b16338a531703af0443f987c748fa5fff075b8c5f91
- 8ef05f4d7d4d96ca6f758f2b5093b7d378e2e986667967fe36dbdaf52f338587
- b02d8f8cf57abdc92b3af2545f1e46f1813f192f4a200a3de102fd38cf048517
- bcb9e99021f88b9720a667d737a3ddd7d5b9f963ac3cae6d26e74701e406dcdc
- e8d0943042e34a37ae8d79aeb4f9a2fa07b4a37955af2b0cc0e232b79c2e72f3
