Im Januar wurde eine neue Welle zielgerichteter Phishing-Kampagnen beobachtet, die der Gruppe PhantomCore zugeschrieben wird. Nach Angaben der Sicherheitsfirma F6 richteten sich die Angriffe am 19. und 21. Januar gegen Organisationen unterschiedlichster Branchen in Russland – von Wohnungswirtschaft und Finanzsektor über Luft- und Raumfahrt bis hin zu großen Marktplätzen. Unternehmen in Belarus geraten ebenfalls regelmäßig ins Visier.
Wer ist PhantomCore und warum sind die Angriffe relevant?
Die Gruppe PhantomCore wird seit 2024 systematisch verfolgt und scheint sich auf Angriffe gegen russische und belarussische Organisationen zu spezialisieren. Der Name leitet sich von der Nutzung des Phantom-Namensraums in ihren .NET-Werkzeugen und der Zeichenkette MicrosoftStatisticCore in geplanten Aufgaben auf kompromittierten Systemen ab.
Die Akteure setzen auf ein typisches Cyber-Espionage-Playbook: präzise formulierte Phishing-E-Mails, Ausführung von PowerShell, Persistenz über den Windows-Aufgabenplaner und anschließende Fernsteuerung der kompromittierten Hosts. Besonders kritisch ist der Einsatz einer PowerShell-Backdoor, da PowerShell ein legitimes Administrationswerkzeug ist und viele Sicherheitskontrollen umgeht, wenn sie nicht speziell überwacht wird.
Ablauf der PhantomCore-Phishing-Kampagne
Spear-Phishing mit vermeintlichen Dokumenten
Die beobachteten E-Mails tragen den Betreff „ТЗ на согласование“ („Technische Spezifikation zur Freigabe“), was in geschäftlichen Kontexten sehr plausibel wirkt. Im Anhang befindet sich ein Archiv mit zwei Dateien: einer LNK-Verknüpfung und einer Datei mit der Endung .doc, die wie ein normales Office-Dokument erscheint.
Tatsächlich verbirgt sich hinter dieser angeblichen DOC-Datei ein RAR-Archiv mit einem Lockdokument. Während das Opfer ein harmlos wirkendes Dokument angezeigt bekommt, wurde der eigentliche Infektionsschritt bereits durch die LNK-Datei ausgelöst. Dieses Vorgehen erschwert die Erkennung durch einfache Dateityp- oder Signaturprüfungen.
Missbrauch von LNK-Dateien und Living-off-the-Land-Taktiken
Beim Öffnen der LNK-Datei wird über cmd.exe ein Befehl ausgeführt, der PowerShell über Umgebungsvariablen ermittelt und die erste Stufe des Schadcodes nachlädt. Die Angreifer nutzen damit konsequent das Prinzip „Living off the Land“: Es werden ausschließlich bereits vorhandene Windows-Komponenten verwendet, was klassische Antivirensignaturen und einfache Applikationsfilter häufig umgeht.
Persistenz über den Windows-Aufgabenplaner
Der nachgeladene PowerShell-Skript der ersten Stufe erledigt drei Aufgaben: Er zeigt das Lockdokument an, lädt die nächste Malware-Phase in den Speicher und verankert sich im Windows-Aufgabenplaner. Die neu erstellte Aufgabe wird unmittelbar gestartet, anschließend alle 61 Sekunden und zu Beginn jedes neuen Tages.
Diese Konfiguration sorgt für ein dauerhaftes Vorhandensein der Malware – auch nach Neustarts oder oberflächlichen Bereinigungsversuchen. Ohne zentrales Monitoring des Task Schedulers und eine Auswertung in einem SIEM fallen solche Aufgaben in vielen Umgebungen kaum auf, insbesondere in größeren Windows-Domänen mit zahlreichen legitimen automatisierten Jobs.
Technische Analyse der PhantomCore-PowerShell-Backdoor
Die zweite Stufe besteht aus einem PowerShell-Skript, das weitgehend der bekannten Variante PhantomCore.PollDL (PhantomeRemote) entspricht. Nach der Ausführung baut der Backdoor über HTTP eine Verbindung zum Command-and-Control-Server (C2) auf. Per GET-Anfrage übermittelt die Malware unter anderem einen eindeutigen Geräte-Identifier (UUID), den Rechnernamen und den Domänennamen.
Der C2-Server antwortet mit Anweisungen im Format cmd:{Befehl}|{Befehls-ID}. Diese werden per Invoke-Command über PowerShell ausgeführt; die Ergebnisse sendet die Malware via POST zurück. In der aktuellen Kampagne wird offenbar nur der Befehlstyp cmd unterstützt, frühere Varianten enthielten zusätzlich download-Funktionen zum Nachladen weiterer Dateien.
Praktisch bedeutet dies, dass PhantomCore auf dem kompromittierten System eine interaktive Remote-Kommandooberfläche bereitstellt. Darüber lassen sich interne Netzstrukturen auskundschaften, Anmeldedaten sammeln und zusätzliche Werkzeuge für lateral movement oder Datendiebstahl ausrollen. Studien wie der Verizon Data Breach Investigations Report 2023 zeigen, dass gerade solche mehrstufigen Angriffe mit initialem Phishing-Einbruch zu den häufigsten Mustern bei schwerwiegenden Sicherheitsvorfällen zählen.
C2-Infrastruktur und Indikatoren für eine Kompromittierung (IOCs)
Während der Analyse identifizierten die Experten mehrere für die Kampagne genutzte Domains, darunter ink-master[.]ru, spareline[.]ru, shibargan[.]ru, act-print[.]ru, metelkova[.]ru, mistralkorea[.]ru und ast-automation[.]ru. Verbindungsversuche zu diesen Adressen stellen wichtige Indikatoren einer Kompromittierung (IOCs) dar und sollten in Proxy-, DNS- und Firewall-Logs geprüft werden.
Die Phishing-E-Mails wurden zudem über legitime, offenbar kompromittierte Domains russischer Unternehmen versendet, etwa npocable-s[.]ru, satnet-spb[.]ru, nppntt[.]ru, tk-luch[.]ru und skbkp.tarusa[.]ru. Die Nutzung real existierender Firmendomains steigert die Glaubwürdigkeit der Nachrichten erheblich und erhöht nach Erfahrungen aus der Praxis die Öffnungs- und Klickrate im Vergleich zu generischen Absendern deutlich.
Schutzmaßnahmen gegen PhantomCore und ähnliche PowerShell-Angriffe
Ein wirksamer Schutz vor PhantomCore erfordert einen mehrschichtigen Sicherheitsansatz, der E-Mail-Infrastruktur, Endgeräte, Logging und Mitarbeiterschulung kombiniert.
1. E-Mail-Sicherheit stärken. SPF, DKIM und DMARC sollten korrekt implementiert und überwacht werden, um missbräuchliche Nutzung von Domains zu erschweren. Moderne Secure-E-Mail-Gateways mit Dateitypanalyse, URL-Rewrite und Sandbox-Technologie helfen, präparierte Archive und LNK-Dateien zu erkennen, bevor sie die Benutzer erreichen.
2. PowerShell einschränken und überwachen. Aktivieren von Script Block Logging, Einschränkung auf signierte Skripte sowie der Einsatz von AppLocker oder Windows Defender Application Control reduzieren das Risiko. SOC-Teams sollten Alarme für ungewöhnliche PowerShell-Aufrufe, versteckte oder Base64-codierte Befehle und Netzwerkzugriffe direkt aus PowerShell konfigurieren.
3. Aufgabenplaner systematisch monitoren. Neue oder geänderte Aufgaben – insbesondere solche, die PowerShell, cmd.exe oder unbekannte Pfade starten – sollten regelmäßig auditiert und in das zentrale SIEM eingespeist werden. Korrelation mit Benutzeraktionen und Software-Updates hilft, legitime von verdächtigen Tasks zu trennen.
4. Security Awareness gezielt ausbauen. Mitarbeitende sollten wiederkehrend zu Spear-Phishing-Taktiken geschult werden, insbesondere bei Themen wie „Freigabe“, „Vertrag“, „Rechnung“ oder angeblich dringenden technischen Spezifikationen. Klare Prozesse zur Meldung verdächtiger E-Mails an das IT-Sicherheits-Team sind entscheidend, um Kampagnen frühzeitig zu erkennen.
Organisationen, insbesondere in Russland und Belarus, sollten ihre Protokolle gezielt auf Verbindungen zu den genannten Domains, auf auffällige Absenderadressen sowie auf neu angelegte Aufgaben im Windows-Aufgabenplaner und untypische PowerShell-Nutzung prüfen. Die von F6 bereitgestellte technische Detailanalyse auf der Plattform Malware Detonation kann als Grundlage dienen, um eigene Erkennungsregeln zu verfeinern und bestehende Schutzmaßnahmen zu testen. Wer diese Erkenntnisse nutzt, seine E-Mail-Sicherheit modernisiert und PowerShell konsequent überwacht, reduziert die Angriffsfläche für PhantomCore und ähnliche Kampagnen erheblich.
