В начале июля «Лаборатория Касперского» обнаружила две волны целевых почтовых атак, направленных на сотрудников российских организаций из различных отраслей, включая производство, государственную власть, финансы и энергетику. Первая волна произошла 5 июля и затронула около 400 пользователей, а вторая волна 10 июля затронула более 550 адресатов. Злоумышленники использовали различные предлоги и создавали убедительные тексты писем, иногда даже используя взломанные учетные записи электронной почты или ранее украденную переписку, чтобы придать письмам более легитимный вид.
PhantomDL и DarkWatchman RAT
Вредоносные письма содержали архив RAR, который либо прикреплялся к письму, либо загружался по ссылке на Google Drive. В большинстве случаев архив был защищен паролем, а названия варьировались в зависимости от темы письма. Содержимое архива включало документ-обманку и одноименную папку, в которой находился исполняемый файл с двойным расширением. Злоумышленники намеревались использовать уязвимость CVE-2023-38831, которая часто используется киберпреступниками.
В случае успешного завершения атаки на устройство жертвы устанавливалось специфическое вредоносное ПО под названием Backdoor.Win64.PhantomDL. Это вредоносное ПО, написанное на языке Go, сильно обфусцировано и использует нестандартную версию упаковщика UPX. PhantomDL в основном используется для установки и запуска различных HackTools и программ удаленного администрирования. Он также может загружать файлы с компьютера жертвы на сервер злоумышленника, включая журналы выполнения и другие конфиденциальные документы.
Бэкдор может выполнять такие команды, как выход из системы, ожидание следующей команды, открытие командной оболочки для выполнения указанных команд, загрузка файлов с компьютера на сервер, а также загрузка и запуск указанных файлов. Команды в коде бэкдора написаны в обратном порядке, а команда оболочки разбита на две строки, чтобы избежать обнаружения.
В отличие от предыдущих версий, текущая версия PhantomDL взаимодействует со своим командно-контрольным (C2) сервером через RSocket, а не HTTP. Используемые C2-домены имитируют популярные российские сайты, такие как Wildberries и Яндекс Диск, что, вероятно, является попыткой злоумышленников избежать обнаружения. Атаки PhantomDL приписываются хакерской группе, известной как Head Mare, на основании используемого вредоносного ПО, индикаторов компрометации, а также тактики и процедур.
Стоит отметить, что подобные почтовые кампании с похожим дизайном, целями, именами и форматами вложений наблюдались и ранее, но с другим вредоносным ПО. Эти кампании проводились в период с конца апреля по начало июня и использовали схожую тактику, например, прикрепляли защищенные паролем документы, что позволило заподозрить, что они могут быть связаны с июльскими атаками.
Indicators of Compromise
IPv4
- 185.80.91.107
- 45.156.21.178
- 94.131.113.79
- 94.131.113.80
Domains
- api.wilbderreis.ru
- api.yandex-disk.info
- dev.sauselid.ru
MD5
- 0e14852853f54023807c999b4ff55f64
- 1143b8c37a580cbf3566085f411dcf5d
- 29b0bf2173c4ddcd7694f5b0745f2b00
- 55239cc43ba49947bb1e1178fb0e9748
- 85c8c66c34bb60e09e68f882831b1751
- 8c9617ddc6d371264a7026777e3cdcc9
- 99b0f80e9ae2f1fb15bfe5f068440ab8
- 9c80573b205ff9080448eac5a6e41221
- b179a0bca2103fe51d8351fe3f7bab45
- f09711bb182e41ec6013935d068998c9
- f4c7b1c34010378a873d2e9ef5f4cd8f
