PhantomHeart и PowerShell: Группировка Head Mare модернизирует атаки на российские организации

Ключевой находкой исследователей стал новый бэкдор PhantomHeart. Изначально он распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт. Этот переход отражает стремление Head Mare активнее применять подход Living-off-the-Land (LotL), то есть использовать легитимные инструменты и нативные механизмы Windows для вредоносной деятельности. Такая стратегия позволяет злоумышленникам минимизировать следы на диске и усложнить обнаружение традиционными антивирусными решениями. Следовательно, подход прослеживается и в остальном арсенале группы.

В рамках текущей кампании прокси-инструмент PhantomProxyLite, характерный для атак Head Mare, также получил реализацию на PowerShell. Более того, аналитики выявили новые кастомизированные утилиты с ограниченной, узкой функциональностью. Эти инструменты используются для закрепления (persistence) в инфраструктуре жертв и повышения привилегий. При этом векторы первоначального доступа остаются во многом неизменными. Группировка продолжает активно эксплуатировать уязвимость BDU:2025-10114 в программном обеспечении для видеоконференций TrueConf Server. В отдельных случаях по-прежнему используются фишинговые рассылки. Таким образом, Head Mare сочетает проверенные методы проникновения с постепенно обновляемым арсеналом для постэксплуатации.

Технический анализ нового бэкдора PhantomHeart

PowerShell-бэкдор PhantomHeart реализует канал удаленного доступа. Он сочетает HTTP-коммуникацию с командным сервером (C2) и возможность развертывания SSH-туннеля по запросу оператора. На этапе инициализации вредоносное ПО формирует уникальный идентификатор жертвы на основе MAC-адреса проводного сетевого адаптера. Этот идентификатор используется для всей последующей коммуникации. Список управляющих серверов хранится в зашифрованном виде и расшифровывается во время выполнения с использованием алгоритма AES-128-CBC. Ключ шифрования также генерируется на основе MAC-адреса зараженной системы. Подобный подход серьезно затрудняет статический анализ образцов и извлечение адресов C2 без их запуска в целевой среде.

После расшифровки PhantomHeart переходит в основной цикл взаимодействия. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку (payload) в формате JSON. Изначально бэкдор отправляет на сервер базовую информацию о системе: имя компьютера, домен, внешний IP-адрес и уникальный идентификатор. Затем он периодически отправляет "heartbeat"-запросы для подтверждения активности и получения команд. Ключевой функцией является развертывание SSH-туннеля. По команде с C2 бэкдор запускает клиент OpenSSH, динамически создает конфигурационный файл и устанавливает сессию с удаленным пробросом портов. В результате оператор получает устойчивый доступ к скомпрометированной системе.

Отдельного внимания заслуживает механизм закрепления. В одной из атак бэкдор запускался через планировщик задач Windows под видом легитимного скрипта обновления. Он был размещен в директории средства удаленного администрирования LiteManager. Использование пути, имитирующего штатную работу легитимного ПО, указывает на попытку маскировки вредоносной активности.

Эволюция инструмента PhantomProxyLite

В ходе анализа эксперты обнаружили, что группировка переработала ранее известный инструмент PhantomProxyLite. В предыдущих кампаниях это был скомпилированный бинарный файл, функционировавший как фоновый сервис. Новая версия сохраняет архитектурную логику, но полностью реализована на PowerShell. Закрепление теперь осуществляется не через сервис, а через задачу планировщика Windows, настроенную на запуск при старте системы от имени учетной записи SYSTEM. При этом инструмент по-прежнему использует реестр для хранения конфигурации и динамически создает временные файлы для SSH-туннеля.

Переход к скриптовой реализации наглядно показывает, что Head Mare все чаще опирается на встроенные средства Windows. Следовательно, группа адаптирует инструмент под конкретные условия, реализуя вредоносную функциональность без отдельных скомпилированных компонентов. Для автоматизации развертывания группировка использует вспомогательный PowerShell-скрипт Create-SSHServiceTask.ps1. Этот скрипт настраивает задачу планировщика, которая запускает основной бэкдор с максимальными привилегиями. Задача также снабжена параметрами устойчивости, включая автоматический перезапуск в случае сбоев.

Расширение вспомогательного арсенала

Помимо основных бэкдоров, группа Head Mare расширила вспомогательный инструментарий для постэксплуатации. Исследователи выявили новые утилиты и скрипты для автоматизации типовых задач. Одним из таких инструментов является исполняемый файл adduser.exe. Он предназначен для быстрой модификации локальной конфигурации системы. Утилита выполняет ограниченный, но важный набор действий: создает локальную учетную запись, добавляет ее в группу администраторов и отключает контроль учетных записей (UAC). Использование подобного инструмента позволяет операторам быстро получить административный доступ без ручного вмешательства.

Также в рамках атак была зафиксирована утилита MicroSocks. Это реализация SOCKS5-прокси, полученная из открытого репозитория на GitHub. В совокупности эти утилиты не являются технически сложными разработками. Однако их интеграция в общую цепочку атаки подчеркивает ориентацию Head Mare на автоматизацию и повторяемость. Следовательно, группа стремится снизить операционную нагрузку и проводить большее количество атак. Новая волна активности затронула широкий спектр российских организаций. Зафиксированные атаки пришлись как на государственный сектор, так и на компании строительной и промышленной отраслей.

Обоснование атрибуции

Описанную волну атак эксперты с высокой степенью уверенности связывают с группировкой Head Mare. Основанием для этого служат технические и операционные признаки, хорошо знакомые по предыдущим кампаниям. Прежде всего, вектор первоначального доступа совпадает. В этой кампании вновь используется эксплуатация уязвимости BDU:2025-10114 в TrueConf Server. Группа активно применяет эту технику с прошлого года. Аналитики зафиксировали множественные примеры успешной эксплуатации, включая внедрение команд PowerShell через параметры запуска легитимного процесса.

Дополнительным индикатором является повторное использование инфраструктуры. В рамках текущей кампании атакующие задействовали C2-адреса, которые ранее уже фигурировали в активности Head Mare. Группировка не изменила и подход к выбору целей. География атак и профиль отраслей повторяют ее предыдущие кампании. Наконец, используемый инструментарий демонстрирует знакомый подход. Обнаруженные PowerShell-версии PhantomProxyLite представляют собой переработку ранее применявшегося бинарного бэкдора. Изменилась форма реализации, но сама логика использования инструмента осталась прежней. Совокупность этих факторов позволяет уверенно отнести описанную активность к группировке Head Mare.

Выводы и угроза

Текущая активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак. Появление нового бэкдора PhantomHeart и все более активное использование скриптовых средств автоматизации делают операции проще в повторении и масштабировании. Группа демонстрирует адаптацию под современные условия защиты, смещая фокус на методы Living-off-the-Land. За счет этого Head Mare может регулярно проводить новые кампании. Следовательно, группировка продолжает представлять ощутимую угрозу для российских организаций из различных отраслей. Эксперты рекомендуют организациям уделять повышенное внимание мониторингу активности PowerShell, анализу задач планировщика и своевременному обновлению программного обеспечения, особенно экземпляров TrueConf Server.

IPv4

• 176.98.189.101
• 178.255.127.65
• 188.127.254.233
• 193.176.153.162
• 195.133.32.213
• 213.232.204.111
• 31.56.227.100
• 31.56.227.61
• 31.56.48.178
• 31.58.137.197
• 80.66.81.13
• 94.183.188.166

Domains

• aegissecurity.online
• cryptara.online
• cyvantis.online
• defentry.online
• fortisec.online
• hostinfo-service.info
• infoseon.online
• msnetsec.space
• netvion.online
• optivault.space
• tastehub.online
• unlikeu.org
• vitalock.space

MD5

• 02be93f46743ff293644433089a47bbc
• 137e563355d1d83e822b80956f589bf8
• 17eb5cc5ef4b7cc6a0d7233af97da29e
• 186f7f0f64358c1affd314be1406225e
• 1c66d261808114a48e444666a7baad38
• 23e91b4d5a65403479648dde7c1a92e3
• 26d134f56489b7703b403276d75fb016
• 29efd64dd3c7fe1e2b022b7ad73a1ba5
• 2dc957cf3f0f6c5c5e6fc865f8bbce42
• 5427ba3ef8bd2c4e57b33dd039ce6ea3
• 54e128b861c5052666a86b470e34c33b
• 5fe4a4ca52319b97196183a47fb17bf8
• 6a58b52b184715583cda792b56a0a1ed
• 76cdcfea6be9b7172b2c3a5fae59da09
• 79b11a56618cfb43953b29b71406c1ee
• 8f1ef9e7ea31b20fa5ebb4e747003b5c
• 8f72e0dd349bb32a100d19bad260bd2e
• a484661d7a2897365e07a2d79e4f4d60
• a50b645c933e3c2895397401a0dc46b9
• ad85916797773e3191fd8ab45111f3ef
• b251ffc6665a3f6bb63728be76f2de0c
• be6ed8287b22f91d0f8a66e901393d13
• bf73d5f96394bf47d329b848d58bf9fe
• dc41c9267a636da409bbf60f802b8e62
• e26aafb5d3fec5dcd8c1aad73cb02414
• f6fe88cf5674d4d032646e3c5c1a5a01