Наприкінці минулого року аналітики зафіксували нову цільову кампанію проукраїнської групи Head Mare, спрямовану проти російських державних структур, а також будівельних і промислових компаній. Центральним елементом оновленого арсеналу став PowerShell-бекдор PhantomHeart, який замінив раніше використаний DLL-варіант і став основою нової постексплуатаційної інфраструктури з опорою на SSH-тунелювання.
Нова хвиля атак Head Mare: фокус на держсектор і промисловість
За даними дослідників, кампанія Head Mare зберігає чітку цільову спрямованість: уражаються мережі органів державної влади та підприємств, пов’язаних зі стратегічно важливими галузями – будівництвом та промисловим виробництвом. Такий вибір цілей характерний для кібершпигунських операцій, орієнтованих не лише на доступ до конфіденційних даних, а й на отримання технічної інформації про інфраструктуру, контракти й логістику.
Перехід до PowerShell і Living-off-the-Land
Ключова відмінність нової кампанії – поворот до підходу Living-off-the-Land (LOTL), коли зловмисники максимально використовують вбудовані можливості операційної системи. Замість «важких» виконуваних файлів Head Mare переходить на PowerShell-скрипти, штатні утиліти Windows та вже наявні засоби адміністрування.
Такий підхід ускладнює виявлення атак: активність бекдорів виглядає як звичайні адміністративні дії, а сигнатурний аналіз та класичні антивірусні рішення значно втрачають ефективність. Провідні вендори безпеки відзначають, що LOTL-техніки стають стандартом для сучасних кібершпигунських угруповань, і Head Mare органічно вписується в цю тенденцію.
Початковий доступ: уразливість TrueConf Server BDU:2025-10114 та фішинг
Вектор початкового проникнення у мережі жертв залишився майже незмінним. Група продовжує експлуатувати уразливість BDU:2025-10114 у TrueConf Server, яка за відсутності оновлень дає змогу віддалено скомпрометувати сервер відеоконференцій. У ряді епізодів фіксується й класичний фішинг із шкідливими вкладеннями або посиланнями.
Поєднання вже відомої, але не всюди усунутої уразливості з прийомами соціальної інженерії дозволяє Head Mare гнучко обирати маршрут проникнення в конкретну мережу, що істотно підвищує ймовірність успішного зламу.
PowerShell-бекдор PhantomHeart: SSH-тунель і збір технічних даних
Основним інструментом на етапі постексплуатації став PhantomHeart – PowerShell-бекдор, орієнтований на створення стійких каналів керування та збору даних. За командами C2-сервера він розгортає SSH-тунель, що забезпечує віддалений доступ до скомпрометованих хостів, оминаючи пряме відкриття портів назовні.
Паралельно PhantomHeart збирає базову технічну інформацію: ім’я комп’ютера, доменне оточення, зовнішню IP-адресу й унікальний ідентифікатор жертви. Ці дані потрібні зловмисникам для інвентаризації захоплених систем, пріоритизації цілей та планування подальших дій усередині мережі.
Закріплення через планувальник задач і маскування під LiteManager
Важливий елемент PhantomHeart – механізм закріплення в системі. В одній із зафіксованих атак скрипт запускався через планувальник задач Windows, маскуючись під легітимний процес оновлення популярного засобу віддаленого адміністрування LiteManager. Шкідливий файл розміщувався в каталозі цього ПЗ та імітував штатну службову активність, що суттєво знижує шанс виявлення при поверхневому аудиті.
Такий тип маскування під уже довірене администраторами програмне забезпечення є розповсюдженою й дієвою технікою. Без детального моніторингу змін у планувальнику задач і каталогах інструментів віддаленого доступу навіть досвідчені спеціалісти можуть пропустити сліди компрометації.
PhantomProxyLite і автоматизація SSH-тунелювання через PowerShell
Ще один ключовий компонент арсеналу Head Mare – PhantomProxyLite – також був переведений із двійкового сервісу у формат PowerShell-скрипта. Якщо раніше він маскувався під сервіс SSHService, то тепер аналогічна логіка реалізована засобами PowerShell, що полегшує доставку та оновлення коду в інфраструктурі жертви.
Закріплення PhantomProxyLite здійснюється через задачу планувальника з назвою SSHService, яка запускається від імені SYSTEM під час старту операційної системи. Бекдор використовує той самий ключ реєстру для зберігання порту, створює тимчасовий файл конфігурації SSH-тунелю у каталозі C:\Windows\Temp і ініціює запуск ssh.exe для встановлення зворотного SSH-з’єднання з інфраструктурою зловмисників.
Для автоматизації розгортання застосовується допоміжний скрипт Create-SSHServiceTask.ps1, який створює або перевизначає задачу планувальника з потрібними параметрами, попередньо видаляючи наявну з тим самим іменем. Це спрощує масове впровадження PhantomProxyLite на десятках і сотнях хостів без значних ручних зусиль.
Додаткові інструменти Head Mare: постексплуатація та проксі-трафік
Окрім PhantomHeart і PhantomProxyLite, дослідники виявили в групи оновлений набір утиліт для автоматизації типових постексплуатаційних дій: закріплення у системі, управління привілеями, організації мережевого доступу та проксування трафіку.
У ланцюжку атаки фігурує також MicroSocks – реалізація SOCKS5-проксі з відкритого репозиторію GitHub. Застосування відкритого коду знижує витрати на розробку й ускладнює атрибуцію: той самий інструмент може легально використовуватися адміністраторами та паралельно з’являтися в арсеналі різних кібергруп.
Загалом інфраструктура Head Mare демонструє орієнтацію на масштабування операцій за рахунок автоматизації: сценарії дозволяють швидко розгортати бекдори, відновлювати доступ після блокувань і гнучко змінювати конфігурацію C2-серверів.
На тлі переходу до PowerShell-рішень і LOTL-тактик організаціям, особливо в державному, будівельному та промисловому секторах, критично важливо посилити контроль за використанням PowerShell та вбудованих адмінінструментів, своєчасно усувати публічно відомі уразливості (зокрема BDU:2025-10114 у TrueConf Server), регулярно перевіряти планувальник задач і каталоги ПЗ віддаленого адміністрування. Впровадження сучасних EDR-рішень, централізований збір логів та навчання ІТ-персоналу методам виявлення LOTL-активності істотно підвищують шанси виявити подібні кампанії на ранніх етапах і мінімізувати потенційні збитки.
