Аналитики ANY.RUN раскрыли активную кампанию PhantomEnigma, которая использует взломанные правительственные системы Бразилии для доставки вредоносного ПО. Целями стали банковские организации и государственный сектор. Злоумышленники применяют поддельные документы, стилизованные под полицейские уведомления, и легитимные ссылки .gov.br, чтобы атака не вызывала подозрений.
Описание
Исследование, основанное на анализе 231 сеанса в интерактивной песочнице за период с января по июль 2026 года, показало, что кампания представляет собой скоординированную операцию с несколькими векторами атаки. Использование доверенной инфраструктуры позволяет задержать обнаружение и увеличить затраты на расследование, а также повышает риски финансовых потерь, утечки данных и сбоев в работе организаций.
Ключевой особенностью PhantomEnigma является применение скомпрометированных бразильских государственных систем на этапе доставки. Не менее 20 муниципальных и полицейских порталов .gov.br использовались для распространения вредоносных установщиков. Взломанные почтовые ящики позволяли фишинговым письмам успешно проходить проверки SPF, DKIM и DMARC, что делало их практически неотличимыми от легитимной корреспонденции. При этом сами государственные системы выступали именно звеном доставки, а не конечной целью атакующих.
Техническая основа бэкдора - модульная вредоносная программа на Node.js, доставляемая установщиком на Delphi/Inno Setup. После запуска установщик разворачивает модифицированное приложение Boostnote, в котором легитимный код заметок заменён вредоносным файлом index.js. Этот файл содержит самообфусцирующуюся логику: он собирает информацию о системе, отправляет её на командно-контрольный сервер (C2), создаёт механизм закрепления через ключ Run в реестре и входит в цикл ожидания команд.
ANY.RUN выявил ранее не задокументированное поколение маяков бэкдора. Помимо известного GET-запроса к конечной точке /laravel.php, вторая генерация использует POST-запрос к /nbw/ с JSON-данными, содержащими идентификатор машины, имя компьютера, имя пользователя и метку кампании. Это подтверждено повторным запуском образца 12 июля 2026 года, который показал активный обмен с доменом zsxocjarsate[.]com.
Инфраструктура кампании постоянно ротируется. Список доменов C2 включает как случайно сгенерированные имена (dahieenloo[.]com, eeresofeuae[.]com), так и имитирующие полицейские сайты (policiacivilmg[.]com, pccvill[.]com). Бэкдор использует Cloudflare для фронтальной части, а фактический сервер находится за прокси. Известные C2-домены покрывают лишь 33% сеансов в кластере. Две трети образцов никогда не обращались к известным доменам, а вместо этого использовали скомпрометированные .gov.br хосты или уже сменённую инфраструктуру.
Связь с другой ветвью атаки - фишинговой кампанией Ofício-PC - подтверждена общими скомпрометированными правительственными хостами. Как минимум четыре портала .gov.br и .jus.br использовались одновременно для распространения поддельных PDF-документов с QR-кодами (схема ClickFix) и установщиков PhantomEnigma. В рамках ClickFix жертву просили запустить PowerShell-команду, которая загружала и выполняла дополнительную нагрузку, включая Cobalt Strike. Предоставленный анализ сетевого трафика показал, что обе ветви используют одинаковые полицейские темы и скомпрометированную публичную инфраструктуру, что указывает на единого оператора.
Наиболее стабильным индикатором кампании является не конкретный домен или IP, а цепочка сборки вредоносного ПО. Комбинация тегов "Delphi", "Inno Setup", "Node.js" и "installer" однозначно идентифицирует все 231 сеанс в песочнице. Это позволяет обнаруживать новые образцы даже после полной смены доменов и хостинга. Например, три четверти образцов в кластере не контактировали ни с одним из известных C2, но все они были собраны одинаковым способом.
Для команд безопасности это означает, что полагаться только на списки блокировки доменов недостаточно. Злоумышленники меняют C2 еженедельно, а скомпрометированные правительственные порталы - раз в несколько недель. Более надёжными методами становятся обнаружение по поведению, анализ в песочнице с последующим ретроспективным исследованием и использование правил YARA, нацеленных на характерные фрагменты кода, такие как структура маяков JSON.stringify(), сбор COMPUTERNAME и USERNAME, а также механизм закрепления setLoginItemSettings.
Среди дополнительных рисков - возможность расширения кампании за счёт новых скомпрометированных хостов. Уже зафиксировано как минимум семь новых порталов .gov.br сверх первоначальных 14. Оператор может также перейти на HTTPS-шифрование для C2, что сделает обнаружение по сетевым сигнатурам менее эффективным.
Финансовые последствия для атакованных организаций включают кражу банковских учётных данных, несанкционированные транзакции и утечку конфиденциальной информации. Задержка в обнаружении, обусловленная чистыми вердиктами автоматических сканеров (почти треть образцов не определялась как вредоносные), может привести к боковому перемещению внутри сети и распространению на критические системы. Стоимость расследования и восстановления возрастает из-за необходимости анализировать несколько, на первый взгляд, не связанных инцидентов.
PhantomEnigma демонстрирует, как современные кампании обходят традиционные методы защиты, используя доверенные источники и модульные нагрузки. Единственным способом своевременного выявления остаётся комплексный подход: поведенческий анализ в песочнице, непрерывный мониторинг изменений в цепочке сборки, корреляция событий из разных систем защиты и регулярная охота на угрозы с помощью TI Lookup. Только сочетание этих мер позволяет сократить время от первого подозрительного сигнала до подтверждённой компрометации и минимизировать ущерб.
Индикаторы компрометации
Скомпрометированные домены
- areal.rj.gov.br
- camaradelassance.mg.gov.br
- camaraparaguacu.sp.gov.br
- circ.rs.gov.br
- condemat.sp.gov.br
- ferrazdevasconcelos.sp.gov.br
- floresdegoias.go.gov.br
- funrespol.pc.ro.gov.br
- lontra.mg.gov.br
- marapoama.sp.gov.br
- pinhalgrande.rs.gov.br
- poa.sp.gov.br
- protocolo.sorocaba.sp.gov.br
- seplag.mt.gov.br
- policiacivil.pe.gov.br
Скомпрометированные URL
- https://arcese.urlsand.com/?u=https%3A%2F%2Fcamaraparaguacu.sp.gov.br%2Foficio%2Fx2eDBGceCF&e=dd4b7717&h=be3cf1fa&f=y&p=y&m=4gql0c4CXBz334D
- https://camaradelassance.mg.gov.br
- https://camaraparaguacu.sp.gov.br/doc
- https://camaraparaguacu.sp.gov.br/doc/DcUXKm/S7q88t
- https://camaraparaguacu.sp.gov.br/doc/DzAe8Sxvca
- https://camaraparaguacu.sp.gov.br/doc/i00hqHrGFr
- https://camaraparaguacu.sp.gov.br/doc/js.brnUl8Z
- https://camaraparaguacu.sp.gov.br/doc/naNXNW0tQ7
- https://camaraparaguacu.sp.gov.br/doc/R0RU5TEpc2
- https://camaraparaguacu.sp.gov.br/doc/wsVPWyP0iL
- https://camaraparaguacu.sp.gov.br/oficio/mGeI1KrXIT
- https://cas5-0-urlprotect.trendmicro.com/wis/clicktime/v1/query?url=https%3a%2f%2fpoa.sp.gov.br%2fdown.php&umid=a1a41f4a-228b-4622-9a1f-5fd4cbc68d26&rct=1779114363&auth=18576cf8abd7812271cef15c8c401c7207caa231-a9e499076e60cd525b23d7c667f1929bc0a9b294
- https://circ.rs.gov.br/OficioDigital.exe
- https://condemat.sp.gov.br/certificate/APL3SJ9e/723406349/
- https://ferrazdevasconcelos.sp.gov.br/down.php
- https://floresdegoias.go.gov.br/levantamento/v6aq7x/prm9yG
- https://lontra.mg.gov.br/arquivo.php
- https://marapoama.sp.gov.br/doc/4h7Bae/Mn9K3N
- https://marapoama.sp.gov.br/documento/L5fHnY/d13mLf
- https://marapoama.sp.gov.br/levantamento/M5nkwP/dM0CgC
- https://marapoama.sp.gov.br/oficio/LA9ks3d/ldo9JodAS/vYnerL/fkeA5r
- https://poa.sp.gov.br/doc/k9l00oFolA/4mZKTCE4ex
- https://poa.sp.gov.br/doc/KhDvexT9QX/t4iVaErskj
- https://poa.sp.gov.br/doc/wBvCEwP3tO/oSKmMKG1sw
- https://poa.sp.gov.br/documento/3QFKMM71/527058494/
- https://poa.sp.gov.br/download/7552PRc3/544840142/
- https://poa.sp.gov.br/oficio/anexo/VQC7WEcf
- https://protocolo.sorocaba.sp.gov.br/protocolo/kitsigns.jsp?yd=DtmcOmPD4GdPF9H06LU6tVN8lm2467QxWGDEOmFL0qWjScIylunV8re%2B0cZMiJ6O
- https://protocolo.sorocaba.sp.gov.br/protocolo/signkit.jsp?yd=5F8bz2Lapfi%2Bf41ZRmsNAtfvOls6zkkpOSPYO4UqALf0x8Hv%2BZcPRgcBznBl0tH
- https://url.de.m.mimecastprotect.com/s/cFJoCr2PqncDzNRl7U7fmf4fQ3q?domain=camaraparaguacu.sp.gov.br
- https://www.funrespol.pc.ro.gov.br/procedimento/aQbax7Lq4R
- https://www.pinhalgrande.rs.gov.br/down.php
Вредоносные IP
- 188.137.246.189
- 91.92.241.181
Вредоносные домены
- dahieenloo.com
- eeresofeuae.com
- logs.zabbxsoftware.com
- oauth.openvpnet.com
- oficiospolicia.com
- pccvill.com
- pccvioo.com
- psznaoehteeh.com
- zsxocjarsate.com
Основные индикаторы
- Цифровой отпечаток (основной): теги delphi ∧ inno ∧ installer ∧ nodejs
- Протокол бэкдора (>= 2 поколений):
- */laravel.php?api=api&hash=*&message=PT1n* (GET, base64 в URL)
- POST */nbw/ (JSON [id, COMPUTERNAME, USERNAME, tag])
- Маяк C2
- 185.219.83.191, 188.137.246.189 (AS214943 RAILNET)
- C2 для доставки
- policiacivilmg.com, dahieenloo.com, pccvill.com, pccvioo.com, taaeiuep.com, psznaoehteeh.com, eeresofeuae.com, zsxocjarsate.com
- Источник
- 158.94.208.120 / 91.92.241.181 (AS202412 OMEGATECH-AS, Сейшелы)
- Хеш якоря
- Procuracao_Digital.exe
- SHA256: e0dae1a04b7a3b2ae07377b0fd00681e9633532788870b3709a9e149f3ccf0e0
- Канал доставки «Ofício»:
- zabbxsoftware.com, oauth.openvpnet.com (ротируемый набор / CS C2)
- IP: 195.177.94.103, 195.177.94.193, 79.110.49.32
- Скомпрометированные ресурсы для доставки (уведомить CTIR Gov; НЕ окрашивать):
- timon.ma.gov.br
- protocolo.sorocaba.sp.gov.br
- prodoc.ap.gov.br
- portaldrh.tjba.jus.br
- marapoama.sp.gov.br
- poa.sp.gov.br
- loginam.sesp.es.gov.br
- aplicacao.cbm.mt.gov.br