В конце прошлого года аналитики зафиксировали очередную целевую кампанию проукраинской группировки Head Mare, нацеленной на российские государственные структуры, а также строительные и промышленные компании. Ключевым элементом обновленного инструментария стал новый PowerShell-бэкдор PhantomHeart, который пришел на смену ранее использовавшемуся DLL-варианту.
Ставка на Living-off-the-Land: переход к скриптам и встроенным инструментам
Исследователи отмечают, что переход от скомпилированных бинарных файлов к PowerShell-скриптам демонстрирует осознанный разворот Head Mare к подходу Living-off-the-Land (LOTL). В рамках LOTL злоумышленники максимально используют легитимные компоненты операционной системы — штатные утилиты Windows, встроенные интерпретаторы скриптов и уже установленные администрирующие средства — вместо доставки «тяжелых» исполняемых файлов.
Такая тактика затрудняет обнаружение атак: вредоносная активность маскируется под обычные системные операции, а сигнатурный анализ и традиционные антивирусы оказываются менее эффективны. Подобный сдвиг в сторону LOTL-техник наблюдается во многих современных кибершпионских кампаниях, и Head Mare закономерно следует этой тенденции.
Первоначальный доступ: уязвимый TrueConf Server и фишинг
Вектор начального проникновения в инфраструктуру жертв у группировки практически не изменился. Как и ранее, Head Mare эксплуатирует уязвимость BDU:2025-10114 в TrueConf Server, позволяющую удаленно скомпрометировать сервер видеоконференций при отсутствии обновлений. В ряде эпизодов по-прежнему фиксируется использование фишинговых рассылок с вредоносными вложениями или ссылками.
Сочетание эксплуатации известной, но не везде закрытой уязвимости с социальной инженерией позволяет атакующим выбирать наиболее удобный маршрут проникновения в конкретную целевую сеть, повышая шансы на успешный взлом.
PhantomHeart: PowerShell-бэкдор с SSH-туннелем и сбором данных
Главным инструментом на этапе постэксплуатации стал PowerShell-бэкдор PhantomHeart. Его основная задача — развертывание SSH-туннеля по команде управляющего сервера (C2), что обеспечивает устойчивый удаленный доступ к скомпрометированной системе. Одновременно бэкдор собирает базовую техническую информацию: имя компьютера, доменное окружение, внешний IP-адрес и уникальный идентификатор жертвы.
Закрепление через планировщик задач и маскировка под LiteManager
Отдельного внимания заслуживает механизм закрепления в системе. В одной из зафиксированных атак PhantomHeart запускался через планировщик задач Windows, маскируясь под легитимный скрипт обновления популярного средства удаленного администрирования LiteManager. Вредоносный скрипт размещался в каталоге этого ПО и имитировал штатную служебную активность, что снижало вероятность обнаружения при поверхностном аудите.
Подобная маскировка под уже доверенное администраторами ПО — распространенный и эффективный прием, который усложняет анализ инцидентов и может вводить в заблуждение даже опытных специалистов, если не настроен детальный мониторинг изменений в задачах планировщика и каталогах администрирующих утилит.
PhantomProxyLite: от бинарного сервиса к PowerShell-скрипту
Еще один важный компонент арсенала группы — инструмент PhantomProxyLite — также был полностью переведен на PowerShell. Если ранее он представлял собой бинарный сервис под видом SSHService, то теперь та же логика реализована в виде скрипта, что упрощает модификацию и доставку кода в инфраструктуру жертвы.
Автоматизация развертывания и использование ssh.exe
Закрепление PhantomProxyLite по-прежнему осуществляется через задачу планировщика Windows с названием SSHService, запускаемую от имени SYSTEM при старте системы. Бэкдор использует тот же ключ реестра для хранения конфигурации порта, создает временный файл настроек SSH-туннеля в C:\Windows\Temp и инициирует запуск ssh.exe для установления обратного SSH-туннеля к инфраструктуре злоумышленников.
Для автоматизации процесса Head Mare применяет вспомогательный скрипт Create-SSHServiceTask.ps1. Он создает или переинициализирует задачу планировщика с нужными параметрами, предварительно удаляя существующую задачу с тем же именем. Это гарантирует единообразную конфигурацию и снижает операционную нагрузку при массовом развертывании инструмента на множестве хостов.
Дополнительный инструментарий: постэксплуатация и проксирование трафика
Помимо PhantomHeart и PhantomProxyLite, исследователи обнаружили у Head Mare обновленный набор утилит для автоматизации типовых постэксплуатационных задач: закрепления в системе, управления привилегиями и организации сетевого доступа. Такое «конструкторское» построение инструментария позволяет гибко адаптировать цепочку атаки под конкретную инфраструктуру цели.
В арсенале группы также зафиксирована утилита MicroSocks — реализация SOCKS5-прокси из открытого репозитория GitHub. Использование открытого кода снижает затраты на разработку, а заодно усложняет атрибуцию, поскольку тот же инструмент может встречаться у разных злоумышленников и в легитимных сценариях администрирования.
В общей цепочке атаки эти утилиты подчеркивают ориентацию Head Mare на масштабирование операций при минимальном ручном участии. Автоматизация позволяет параллельно вести больше атак, быстрее восстанавливаться после блокировок и менять инфраструктуру управления.
С учетом наблюдаемого перехода к PowerShell-реализациям и LOTL-подходу, российским организациям из государственных, строительных и промышленных секторов важно усилить контроль за использованием PowerShell и встроенных администрирующих инструментов, своевременно закрывать публично известные уязвимости (включая BDU:2025-10114 в TrueConf Server), а также регулярно проверять планировщик задач и каталоги ПО удаленного администрирования на предмет аномалий. Развертывание современных EDR-решений, централизованный сбор логов и обучение ИТ-персонала методам выявления LOTL-активности существенно повышают шансы обнаружить подобные кампании на ранних этапах и минимизировать ущерб.
