Специалисты F.A.C.C.T Threat Intelligence недавно обнаружили новый загрузчик под названием PhantomGoDownloader, также известный как PhantomDL. Проанализировав образцы, исследователи обнаружили связь между PhantomDL и ранее выявленной группой кибершпионажа под названием PhantomCore, которая с 2024 года атакует российские организации.
PhantomDL распространяется через фишинговые письма, содержащие защищенные паролем архивы. В конце марта исследователи обнаружили на платформе VirusTotal исполняемый файл и защищенный паролем RAR-архив. Они смогли взломать пароль архива и обнаружили, что он содержит исполняемый файл и легитимный документ-приманку PDF.
Злоумышленники используют разновидность уязвимости WinRAR, используя архивы RAR вместо архивов ZIP. Если пользователь с версией WinRAR старше 6.23 запустит PDF-файл, то будет выполнен исполняемый файл в архиве. Однако если версия WinRAR составляет 6.23 или выше, пользователь увидит только легитимный PDF-файл.
Загрузчик PhantomDL, написанный на языке Go, узнает компьютер или доменное имя жертвы и отправляет HTTP POST-запрос на сервер. Если соединение поступает с нероссийского IP-адреса, оно будет прервано. Если получен ответ 200 OK, загрузчик выполнит одну из двух команд: «установить» или «залить».
На VirusTotal был загружен еще один архив с тем же паролем, содержащий аналогичные файлы. Спустя месяц исследователи обнаружили новый образец PhantomDL, в котором отсутствовала обфускация. Этот образец распространялся в архиве с другими документами-приманками и имел другой IP-адрес для командно-контрольного сервера.
Новый образец поддерживает те же команды, что и ранняя версия загрузчика: «bay» и «install». Однако он взаимодействует с другим IP-адресом. Исследователи предоставили подробную информацию о содержимом найденных в архиве документов-приманок.
В целом, PhantomDL - это загрузчик, связанный с группой PhantomCore, и распространяется он через фишинговые письма с защищенными паролем архивами. Он использует уязвимость WinRAR и связывается с командно-контрольными серверами для выполнения различных команд. Обнаружение новых образцов служит еще одним доказательством деятельности группировки и подчеркивает необходимость постоянной бдительности в защите от киберугроз.
Indicators of Compromise
IPv4
- 188.127.227.201
- 91.219.151.47
URLs
- http://188.127.227.201/check
- http://188.127.227.201/end
- http://188.127.227.201/start
- http://91.219.151.47/finisher
- http://91.219.151.47/ping
- http://91.219.151.47/starter
MD5
- 15333d5315202ea428de43655b598eda
- 24f3b3ad3b5e6f80b5f2e141fc632cfd
- 2525b41e278337b320eb773dad7949fd
- f6b14bc3a43f27e73ff7c1ef9af7bd6e
- f959a91be0ce6ce17ca68a283cf42125
SHA1
- 3ecfd1bafbbc59547ac298ade59527f5d58d7b68
- 953541f78a844575833dc67e044a18c3113760ed
- b6212da07dc3a4f39a33bc0f0242c86a0f4433e6
- d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c
- db1b84fa7946ce93c99b6501fec58d2ca12222b0
SHA256
- 063a8cad2115f6021532fa5093b33ec322b052c936659ec5cb42aa53a8207e59
- 08dc76d561ba2f707da534c455495a13b52f65427636c771d445de9b10293470
- 201f8dd57bce6fd70a0e1242b07a17f489c5f873278475af2eaf82a751c24fa8
- b7902181802cafcc1e41be7cf8a23e9ca4f7da56196e6b729dac86f236225ff5
