PhantomEnigma: скомпрометированные государственные порталы Бразилии стали каналом скрытых атак на банки и госсектор

information security

Аналитики ANY.RUN раскрыли активную кампанию PhantomEnigma, которая использует взломанные правительственные системы Бразилии для доставки вредоносного ПО. Целями стали банковские организации и государственный сектор. Злоумышленники применяют поддельные документы, стилизованные под полицейские уведомления, и легитимные ссылки .gov.br, чтобы атака не вызывала подозрений.

Описание

Исследование, основанное на анализе 231 сеанса в интерактивной песочнице за период с января по июль 2026 года, показало, что кампания представляет собой скоординированную операцию с несколькими векторами атаки. Использование доверенной инфраструктуры позволяет задержать обнаружение и увеличить затраты на расследование, а также повышает риски финансовых потерь, утечки данных и сбоев в работе организаций.

Ключевой особенностью PhantomEnigma является применение скомпрометированных бразильских государственных систем на этапе доставки. Не менее 20 муниципальных и полицейских порталов .gov.br использовались для распространения вредоносных установщиков. Взломанные почтовые ящики позволяли фишинговым письмам успешно проходить проверки SPF, DKIM и DMARC, что делало их практически неотличимыми от легитимной корреспонденции. При этом сами государственные системы выступали именно звеном доставки, а не конечной целью атакующих.

Техническая основа бэкдора - модульная вредоносная программа на Node.js, доставляемая установщиком на Delphi/Inno Setup. После запуска установщик разворачивает модифицированное приложение Boostnote, в котором легитимный код заметок заменён вредоносным файлом index.js. Этот файл содержит самообфусцирующуюся логику: он собирает информацию о системе, отправляет её на командно-контрольный сервер (C2), создаёт механизм закрепления через ключ Run в реестре и входит в цикл ожидания команд.

ANY.RUN выявил ранее не задокументированное поколение маяков бэкдора. Помимо известного GET-запроса к конечной точке /laravel.php, вторая генерация использует POST-запрос к /nbw/ с JSON-данными, содержащими идентификатор машины, имя компьютера, имя пользователя и метку кампании. Это подтверждено повторным запуском образца 12 июля 2026 года, который показал активный обмен с доменом zsxocjarsate[.]com.

Инфраструктура кампании постоянно ротируется. Список доменов C2 включает как случайно сгенерированные имена (dahieenloo[.]com, eeresofeuae[.]com), так и имитирующие полицейские сайты (policiacivilmg[.]com, pccvill[.]com). Бэкдор использует Cloudflare для фронтальной части, а фактический сервер находится за прокси. Известные C2-домены покрывают лишь 33% сеансов в кластере. Две трети образцов никогда не обращались к известным доменам, а вместо этого использовали скомпрометированные .gov.br хосты или уже сменённую инфраструктуру.

Связь с другой ветвью атаки - фишинговой кампанией Ofício-PC - подтверждена общими скомпрометированными правительственными хостами. Как минимум четыре портала .gov.br и .jus.br использовались одновременно для распространения поддельных PDF-документов с QR-кодами (схема ClickFix) и установщиков PhantomEnigma. В рамках ClickFix жертву просили запустить PowerShell-команду, которая загружала и выполняла дополнительную нагрузку, включая Cobalt Strike. Предоставленный анализ сетевого трафика показал, что обе ветви используют одинаковые полицейские темы и скомпрометированную публичную инфраструктуру, что указывает на единого оператора.

Наиболее стабильным индикатором кампании является не конкретный домен или IP, а цепочка сборки вредоносного ПО. Комбинация тегов "Delphi", "Inno Setup", "Node.js" и "installer" однозначно идентифицирует все 231 сеанс в песочнице. Это позволяет обнаруживать новые образцы даже после полной смены доменов и хостинга. Например, три четверти образцов в кластере не контактировали ни с одним из известных C2, но все они были собраны одинаковым способом.

Для команд безопасности это означает, что полагаться только на списки блокировки доменов недостаточно. Злоумышленники меняют C2 еженедельно, а скомпрометированные правительственные порталы - раз в несколько недель. Более надёжными методами становятся обнаружение по поведению, анализ в песочнице с последующим ретроспективным исследованием и использование правил YARA, нацеленных на характерные фрагменты кода, такие как структура маяков JSON.stringify(), сбор COMPUTERNAME и USERNAME, а также механизм закрепления setLoginItemSettings.

Среди дополнительных рисков - возможность расширения кампании за счёт новых скомпрометированных хостов. Уже зафиксировано как минимум семь новых порталов .gov.br сверх первоначальных 14. Оператор может также перейти на HTTPS-шифрование для C2, что сделает обнаружение по сетевым сигнатурам менее эффективным.

Финансовые последствия для атакованных организаций включают кражу банковских учётных данных, несанкционированные транзакции и утечку конфиденциальной информации. Задержка в обнаружении, обусловленная чистыми вердиктами автоматических сканеров (почти треть образцов не определялась как вредоносные), может привести к боковому перемещению внутри сети и распространению на критические системы. Стоимость расследования и восстановления возрастает из-за необходимости анализировать несколько, на первый взгляд, не связанных инцидентов.

PhantomEnigma демонстрирует, как современные кампании обходят традиционные методы защиты, используя доверенные источники и модульные нагрузки. Единственным способом своевременного выявления остаётся комплексный подход: поведенческий анализ в песочнице, непрерывный мониторинг изменений в цепочке сборки, корреляция событий из разных систем защиты и регулярная охота на угрозы с помощью TI Lookup. Только сочетание этих мер позволяет сократить время от первого подозрительного сигнала до подтверждённой компрометации и минимизировать ущерб.

Индикаторы компрометации

Скомпрометированные домены

  • areal.rj.gov.br
  • camaradelassance.mg.gov.br
  • camaraparaguacu.sp.gov.br
  • circ.rs.gov.br
  • condemat.sp.gov.br
  • ferrazdevasconcelos.sp.gov.br
  • floresdegoias.go.gov.br
  • funrespol.pc.ro.gov.br
  • lontra.mg.gov.br
  • marapoama.sp.gov.br
  • pinhalgrande.rs.gov.br
  • poa.sp.gov.br
  • protocolo.sorocaba.sp.gov.br
  • seplag.mt.gov.br
  • policiacivil.pe.gov.br

Скомпрометированные URL

  • https://arcese.urlsand.com/?u=https%3A%2F%2Fcamaraparaguacu.sp.gov.br%2Foficio%2Fx2eDBGceCF&e=dd4b7717&h=be3cf1fa&f=y&p=y&m=4gql0c4CXBz334D
  • https://camaradelassance.mg.gov.br
  • https://camaraparaguacu.sp.gov.br/doc
  • https://camaraparaguacu.sp.gov.br/doc/DcUXKm/S7q88t
  • https://camaraparaguacu.sp.gov.br/doc/DzAe8Sxvca
  • https://camaraparaguacu.sp.gov.br/doc/i00hqHrGFr
  • https://camaraparaguacu.sp.gov.br/doc/js.brnUl8Z
  • https://camaraparaguacu.sp.gov.br/doc/naNXNW0tQ7
  • https://camaraparaguacu.sp.gov.br/doc/R0RU5TEpc2
  • https://camaraparaguacu.sp.gov.br/doc/wsVPWyP0iL
  • https://camaraparaguacu.sp.gov.br/oficio/mGeI1KrXIT
  • https://cas5-0-urlprotect.trendmicro.com/wis/clicktime/v1/query?url=https%3a%2f%2fpoa.sp.gov.br%2fdown.php&umid=a1a41f4a-228b-4622-9a1f-5fd4cbc68d26&rct=1779114363&auth=18576cf8abd7812271cef15c8c401c7207caa231-a9e499076e60cd525b23d7c667f1929bc0a9b294
  • https://circ.rs.gov.br/OficioDigital.exe
  • https://condemat.sp.gov.br/certificate/APL3SJ9e/723406349/
  • https://ferrazdevasconcelos.sp.gov.br/down.php
  • https://floresdegoias.go.gov.br/levantamento/v6aq7x/prm9yG
  • https://lontra.mg.gov.br/arquivo.php
  • https://marapoama.sp.gov.br/doc/4h7Bae/Mn9K3N
  • https://marapoama.sp.gov.br/documento/L5fHnY/d13mLf
  • https://marapoama.sp.gov.br/levantamento/M5nkwP/dM0CgC
  • https://marapoama.sp.gov.br/oficio/LA9ks3d/ldo9JodAS/vYnerL/fkeA5r
  • https://poa.sp.gov.br/doc/k9l00oFolA/4mZKTCE4ex
  • https://poa.sp.gov.br/doc/KhDvexT9QX/t4iVaErskj
  • https://poa.sp.gov.br/doc/wBvCEwP3tO/oSKmMKG1sw
  • https://poa.sp.gov.br/documento/3QFKMM71/527058494/
  • https://poa.sp.gov.br/download/7552PRc3/544840142/
  • https://poa.sp.gov.br/oficio/anexo/VQC7WEcf
  • https://protocolo.sorocaba.sp.gov.br/protocolo/kitsigns.jsp?yd=DtmcOmPD4GdPF9H06LU6tVN8lm2467QxWGDEOmFL0qWjScIylunV8re%2B0cZMiJ6O
  • https://protocolo.sorocaba.sp.gov.br/protocolo/signkit.jsp?yd=5F8bz2Lapfi%2Bf41ZRmsNAtfvOls6zkkpOSPYO4UqALf0x8Hv%2BZcPRgcBznBl0tH
  • https://url.de.m.mimecastprotect.com/s/cFJoCr2PqncDzNRl7U7fmf4fQ3q?domain=camaraparaguacu.sp.gov.br
  • https://www.funrespol.pc.ro.gov.br/procedimento/aQbax7Lq4R
  • https://www.pinhalgrande.rs.gov.br/down.php

Вредоносные IP

  • 188.137.246.189
  • 91.92.241.181

Вредоносные домены

  • dahieenloo.com
  • eeresofeuae.com
  • logs.zabbxsoftware.com
  • oauth.openvpnet.com
  • oficiospolicia.com
  • pccvill.com
  • pccvioo.com
  • psznaoehteeh.com
  • zsxocjarsate.com

Основные индикаторы

  • Цифровой отпечаток (основной): теги delphi ∧ inno ∧ installer ∧ nodejs
  • Протокол бэкдора (>= 2 поколений):
    • */laravel.php?api=api&hash=*&message=PT1n* (GET, base64 в URL)
    • POST */nbw/ (JSON [id, COMPUTERNAME, USERNAME, tag])
  • Маяк C2
    • 185.219.83.191, 188.137.246.189 (AS214943 RAILNET)
  • C2 для доставки
    • policiacivilmg.com, dahieenloo.com, pccvill.com, pccvioo.com, taaeiuep.com, psznaoehteeh.com, eeresofeuae.com, zsxocjarsate.com
  • Источник
    • 158.94.208.120 / 91.92.241.181 (AS202412 OMEGATECH-AS, Сейшелы)
  • Хеш якоря
    • Procuracao_Digital.exe
    • SHA256: e0dae1a04b7a3b2ae07377b0fd00681e9633532788870b3709a9e149f3ccf0e0
  • Канал доставки «Ofício»:
    • zabbxsoftware.com, oauth.openvpnet.com (ротируемый набор / CS C2)
    • IP: 195.177.94.103, 195.177.94.193, 79.110.49.32
  • Скомпрометированные ресурсы для доставки (уведомить CTIR Gov; НЕ окрашивать):
    • timon.ma.gov.br
    • protocolo.sorocaba.sp.gov.br
    • prodoc.ap.gov.br
    • portaldrh.tjba.jus.br
    • marapoama.sp.gov.br
    • poa.sp.gov.br
    • loginam.sesp.es.gov.br
    • aplicacao.cbm.mt.gov.br

Комментарии: 0