Новая кампания APT-группы Head Mare использует фишинг и файлы LNK для атак на российскую госинфраструктуру

Согласно техническому анализу, в таких письмах злоумышленники используют социальную инженерию, прикрепляя к сообщениям архивные файлы. Названия архивов выглядят как легитимные служебные документы, например, «Задание_на_оценку_N_2046_от_5_августа_2025_года.zip» или «Заказ_на_ДПЭ_225.zip». Это повышает доверие потенциальной жертвы и побуждает её открыть вложение.

Внутри архивов содержится вредоносная полезная нагрузка, представляющая собой бэкдор под названием PhantomRShell. Для маскировки злоумышленники применяют технику двойного расширения файлов. Вредоносный файл может иметь имя, например, «Задание_на_оценку_N_2046_от_5_августа_2025_года.pdf.lnk». Для пользователя он выглядит как документ PDF, однако фактическим расширением является «.lnk» - ярлык Windows.

При открытии такого файла-ярлыка запускается сложная цепочка команд. В результате на целевой системе исполняется вредоносный код PhantomRShell. Этот бэкдор обеспечивает злоумышленникам удалённый несанкционированный доступ к скомпрометированному компьютеру. Следовательно, атакующие получают возможность красть конфиденциальные данные, перемещаться по сетям и длительно сохранять своё присутствие в системе.

Группировка Head Mare (Rainbow Hyena) классифицируется экспертами как APT (Advanced Persistent Threat, усовершенствованная постоянная угроза). Это указывает на её высокий уровень технической оснащённости, долгосрочные цели и, как правило, государственную или геополитическую мотивацию. Такие группы часто специализируются на целевых атаках на правительственные и стратегические организации.

Атака с использованием файлов LNK - это известный, но по-прежнему эффективный приём. Он эксплуатирует настройки операционной системы Windows по умолчанию, которая часто скрывает известные расширения файлов. Таким образом, пользователь видит только часть имени «.pdf», не замечая опасного расширения «.lnk». Этот метод неоднократно использовался различными киберпреступными группами в прошлом.

Для защиты от подобных угроз специалисты рекомендуют целый комплекс мер. В первую очередь, необходимо повышать осведомлённость сотрудников. Сотрудники должны быть обучены распознаванию фишинговых писем и подозрительных вложений. Кроме того, крайне важно всегда отображать полные расширения файлов в операционной системе.

Технические меры также играют ключевую роль. Использование современных решений EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках) и антивирусного программного обеспечения может помочь заблокировать выполнение подобных скриптов. Кроме того, применение принципа минимальных привилегий ограничивает потенциальный ущерб даже в случае успешного проникновения.

Регулярное обновление операционных систем и прикладного программного обеспечения закрывает известные уязвимости. Наконец, организациям следует внедрять строгие политики контроля за входящей электронной почтой, включая фильтрацию архивов и исполняемых файлов. Эти действия значительно усложняют жизнь злоумышленникам.

В настоящее время кампания продолжает развиваться. Аналитики по безопасности отслеживают новые домены и схемы рассылок, связанные с Head Mare. Следовательно, государственным и частным организациям в критических секторах рекомендуется проявить особую бдительность. Своевременное информирование и подготовка остаются главными инструментами противодействия сложным целевым атакам.

IPv4

• 20.165.94.63
• 20.190.160.2

MD5

• 25ded9ddc134112945b97b4e87e2aea5
• c3648aa328881b4b82839ce690d056b8

SHA256

• 002f1d1a0027005943db286fb29378def5b6286a443efd113183a282b93eef13
• 09417f2f787858b5f7fde3ef89f7432f2f0de3179c23869c1463a895d8b87052
• 2d8006c1a90feca67560056c792aa2bd5c8ed6045c4d83f86ad3b54c24dbeed2
• 61cdb40af4a43872d4c81e21e4ab18794cf7e55e10bfc56eee454bbe5184d61f
• 705b83103c0df73f40cb545a75dac41ead75944dd8b89c2f087d57489a88ba1f
• 73eb0be6afe2257389c0e736dc3935c3772027da719e8bdb81d5b70be573f510
• 75e95bfec6d38b80315d32116a4c157b408464e73e4df66125f69ed1381ccf30
• 774cc8c02425bb6c59b9a18120ae1819530cbda684e4662a176eacd6e8bd2401
• 7fbf26a8cd19ef64b36eda05e71343ab56f94b51b50bd631a84dd3ffe2d19372
• 837ccb2e98ff4297a8e4c287a73d985040556bcaf27ee92fe5619c05f432695e
• b308efa50c09bff36dca2d8f4404ff8353cedc318b1628b42c2e9eb0a4e02d53
• b9579e65e5499be393cf182496103941a006479ff8b41c0ad3b57b1d678d9794
• cf1fb970d357602050d90e665d5aba0bc75eb36fedf5d9eda10a34daf5468e69
• d9eadcbab4703094481ef388f4f639223d66ffa42ebd4da1037aa79b5bf87c4a
• d9f51bae58af5684a3c3d6735c0a9e2e3fcaf2d57cbcc2b1d2582cbdf692e8c7
• f101abcdf78aafc281fc66c59c52171f73681ae2720d2f2c582a09b14ff07e25