В конце июня служба безопасности BI.ZONE Mail Security зафиксировала волну фишинговых писем с вредоносными вложениями, направленных против российских компаний. Основной удар пришелся на организации в сфере здравоохранения и информационных технологий. Злоумышленники использовали скомпрометированные почтовые адреса реальных компаний для рассылки писем, что повышало доверие к атаке. После детального анализа эксперты BI.ZONE Threat Intelligence пришли к выводу, что за кампанией стоит группировка Rainbow Hyena. В ходе расследования был обнаружен новый инструмент в арсенале хакеров - бэкдор PhantomRemote, созданный специально для скрытого доступа к системам жертв.
Описание
Фишинговые атаки часто используют поддельные документы, маскирующиеся под легитимные файлы. В этот раз злоумышленники отказались от привычных форматов вроде DOCX или PDF в пользу более сложных методов, таких как полиморфные файлы (polyglot) и ярлыки (LNK). Это позволяет обходить системы защиты почтовых сервисов и антивирусы. Ключевой особенностью атаки стало использование ZIP-архивов, внутри которых скрывались DLL-библиотеки, замаскированные под документы, а также LNK-файлы, автоматически запускающие вредоносный код.
Тематика писем была тщательно продумана: злоумышленники присылали письма с заголовками вроде "Транспортная накладная ТТН № 391-44 от 26.06.2025" или "Договор РН83-371", что имитировало деловую переписку. Вложения содержали ZIP-архивы с LNK-файлами, которые, в свою очередь, запускали сложную цепочку действий. Сначала скрипт искал polyglot-файл в директориях пользователя, затем запускал его через rundll32.exe, извлекал документ-приманку и открывал его, создавая видимость легитимного содержимого.
Бэкдор PhantomRemote, написанный на C++, представляет собой серьезную угрозу. Он собирает системную информацию (GUID, имя компьютера, домен), создает рабочую директорию в %PROGRAMDATA% (например, YandexCloud или MicrosoftAppStore) и устанавливает соединение с командным сервером. Взаимодействие происходит через HTTP-запросы, причем злоумышленники используют поддельные User-Agent, имитирующие легитимные приложения.
PhantomRemote умеет выполнять команды через cmd.exe, загружать дополнительные вредоносные файлы с сервера злоумышленников и отправлять результаты обратно. Например, команда cmd: выполняет произвольные инструкции, а download: скачивает файлы с указанного URL. После выполнения команды бэкдор отправляет отчет на сервер, указывая статус операции ("Download successful" или "Download failed").
Интересно, что если на каком-то этапе происходит ошибка, бэкдор не прекращает работу, а переходит в режим ожидания, периодически проверяя соединение. Это делает его более устойчивым к сбоям и усложняет обнаружение.
Тенденция последнего времени - переход хактивистских групп к более профессиональным методам. Если раньше подобные атаки носили скорее демонстративный характер, то теперь злоумышленники все чаще используют инструменты, характерные для APT-групп: сложные бэкдоры, полиморфные файлы, скрытые методы загрузки. Это говорит о том, что киберпреступники стремятся не только к публичному резонансу, но и к финансовой выгоде или промышленному шпионажу.
Группировка Rainbow Hyena продолжает совершенствовать свои инструменты, и в будущем можно ожидать новых атак с еще более изощренными методами. Бдительность и своевременное обновление систем защиты помогут минимизировать риски.
Индикаторы компрометации
IPv4
- 185.225.17.104
- 188.127.254.44
- 91.239.148.21
MD5
- 08a92ba1d1d9e5c498dcaf53af7cd071
- 1dff0bcf719f3509c597a8955e49af38
- 65967d019076e700deb20dcbc989c99c
- 698337a1be374f3ebb9556ccdc794389
- 75a26a138783032ee18dcfc713b1b34c
- 7e52be17fd33a281c70fec14805113a8
- 88453eb954669b5c7ac712ecf1e0179c
- 9f8e2e09e37142a21c16b37ba310e009
- b49a7ef89cfb317a540996c3425fcdc2
- b586cf958334415777719bf512304fbd
- be990a49fa1e3789ebc5c55961038029
SHA1
- 04d364d7cc98379352e89757d62521271cb410cb
- 2a14a9dd1032479ab5bf8ed945ef9a22ebd4999d
- 49a18dc1d8f84394d3373481dbac89d11e373dbd
- 4ce5e6e0b21323409db8cd8ed2a7ed251656d18a
- 6942e07e7d08781cba571211a08e779838e72e9a
- 775b7e726ba6cf6d9a6463a62797c97612018066
- 851157c01da6e85ffa94ded7f42cab19aa8528d6
- c52d70b92e41db70d4ca342c8dc32eff7883c861
- d9a4fd39a55cd20d55e00d3cace3f637b8888213
- dc149c042747ddf4f58c7ac6bf23e6a02ce1fc77
- efe10ad0b49e6889597b5c3254139b92ed72064c
SHA256
- 01f12bb3f4359fae1138a194237914f4fcdbf9e472804e428a765ad820f399be
- 204544fc8a8cac64bb07825a7bd58c54cb3e605707e2d72206ac23a1657bfe1e
- 413c9e2963b8cca256d3960285854614e2f2e78dba023713b3dd67af369d5d08
- 47262571a87e70238bd6afd376560e9cfdc94bfacae72f36b6aa9fb6e769eb9c
- 4c78d6bba282aaff0eab749cfa8a28e432f7cbf9c61dec8de8f4800fd27e0314
- 4d4304d7ad1a8d0dacb300739d4dcaade299b28f8be3f171628a7358720ca6c5
- a9324a1fa529e5c115232cbbc60330d37cef5c20860bafc63b11e14d1e75697c
- b683235791e3106971269259026e05fdc2a4008f703ff2a4d32642877e57429a
- da53c49641b05e00cde09d47260da927ec403f01ac388605b785eac98306f9c2
- e3e3f7d9abb9696904684d8e32f36818e1939c8122dcc73299a1b7f6b6b700b2
- ed9b24a77a74cd34c96b30f8de794fe85eb1d9f188f516bd7d6020cc81a86728
User-Agents
- YandexCloud/1.0
- YandexUpdate/1.0
- MicrosoftAppStore/2001.0
