Эксперты «Лаборатории Касперского» зафиксировали новую волну целевых атак группы Head Mare на российские и белорусские организации. По данным исследователей, злоумышленники перешли от одиночных бэкдоров к многоступенчатой схеме с несколькими компонентами, повысив устойчивость к обнаружению и способность закрепляться в инфраструктуре.
Цели и вектор первоначального доступа: фишинг и маскировка вложений
Как и прежде, кампания стартует с фишинговых писем с вредоносным вложением. На этот раз во вложении доставляется бэкдор PhantomRemote, предоставляющий злоумышленникам удаленное выполнение команд на зараженном узле. Для сокрытия полезной нагрузки применяется техника polyglot — объединение в одном файле элементов нескольких форматов, чтобы он корректно обрабатывался различными приложениями и обходил статические проверки почтовых шлюзов и средств DLP.
Цепочка бэкдоров: отказоустойчивость и диверсификация технологий
Вместо единственного модуля, как в кампаниях марта, летом 2025 года Head Mare использует связку из PhantomRemote, PhantomCSLoader и PhantomSAgent. Компоненты написаны на разных технологиях (PowerShell, C++, C#), отличаются внутренней логикой и методами запуска, но используют сходную модель взаимодействия с управляющим сервером (C2). Такой «диверситет» снижает вероятность одномоментного срабатывания сигнатур и поведенческих правил: при блокировке одного элемента цепочки другие продолжают работу.
SSH-туннели и устойчивый удаленный доступ
В ряде эпизодов злоумышленники настраивали SSH-туннелирование для скрытого удаленного доступа к внутренним сегментам сети. Туннели позволяют проксировать трафик C2 и админ-инструментов поверх легитимного протокола, усложняя детектирование на пограничных устройствах и системах мониторинга.
Почему это работает: разбор TTP по MITRE ATT&CK
Наблюдаемые техники коррелируют с тактиками MITRE ATT&CK: Initial Access — T1566.001 (spearphishing attachment), Execution — T1059 (Command and Scripting Interpreter, включая PowerShell), Persistence — различные механизмы закрепления и загрузчики, Command and Control — T1572 (Protocol Tunneling) и T1021.004 (Remote Services: SSH). Многоступенчатая архитектура повышает устойчивость к точечным IoC-блокировкам и требует от защитных команд смещения фокуса на TTP-детекцию и телеметрию поведения.
Контекст и тенденции: многослойные кампании как новая норма
Смена инструментария и появление нескольких «веток» вредоносных компонентов указывают на возможную работу одной или нескольких подгрупп под зонтичным брендом Head Mare, преследующих общие цели, но отличающихся реализацией. Подобная модель характерна для зрелых акторов: создается избыточность, ускоряются апдейты и ротация инфраструктуры. В более широком контексте отрасли социальная инженерия стабильно остается ключевым каналом первичного проникновения; многочисленные обзоры угроз и отчеты по инцидентам подтверждают, что фишинг и злоупотребление легитимными инструментами — доминирующие техники начальной стадии атаки.
Рекомендации по защите: от почтового периметра до охоты за угрозами
Усиление почтовой безопасности: применять песочницы с разбором контейнеров и «полиглот»-файлов (контент-детонация, реконструкция форматов), верификацию DKIM/DMARC/SPF и строгие политики для вложений и макросов.
EDR/XDR и поведенческий анализ: детектировать подозрительное использование PowerShell и командных интерпретаторов, а также аномалии сетевых соединений к C2. Сместить акцент с IoC на TTP-сигнатуры.
Сетевой контроль: мониторинг и ограничение SSH-туннелей (контроль исходящих 22/tcp, выявление длительных интерактивных сессий, TLS-оберток, нетипичных портов), сегментация и принцип наименьших привилегий.
Управление уязвимостями и политика исполнения: контроль запуска скриптов, AppLocker/WDAC, подписанные бинарии, инвентаризация и блокировка несанкционированных загрузчиков.
Операции по безопасности: проактивная охота за угрозами по артефактам загрузчиков, техникам закрепления и признакам туннелирования; поддержание актуальных правил YARA и Sigma; регулярные учения по фишингу для сотрудников.
Усложнение арсенала Head Mare — сигнал компаниям о необходимости перехода от точечной фильтрации вложений к многоуровневой защите и детектированию по поведенческим признакам. Инвестиции в EDR/XDR, глубокую инспекцию контента, контроль туннелирования и обучающие программы по фишингу снижают вероятность успешного проникновения и повышают скорость реагирования на инциденты.
