Дослідники зафіксували нову хвилю цільових атак групи Head Mare проти організацій у Росії та Білорусі. Замість одиночних бэкдорів зловмисники перейшли до багатоступеневої архітектури із кількох компонентів, що підвищує стійкість до виявлення та полегшує закріплення в інфраструктурі жертви.
Початковий доступ: фішинг зі «змішаними» вкладеннями та маскуванням
Кампанія стартує зі списаного фішингу із шкідливим вкладенням. У листі доставляється бэкдор PhantomRemote, який надає зловмисникам віддалене виконання команд на зараженому вузлі. Для приховування корисного навантаження застосовується техніка polyglot — поєднання в одному файлі елементів кількох форматів. Такий файл коректно обробляють різні додатки, а статичні перевірки поштових шлюзів і DLP-інструментів часто не помічають аномалію.
Ланцюжок бэкдорів: диверсифікація технологій і відмовостійкість
У новій ітерації Head Mare використовує пов’язану зв’язку з PhantomRemote, PhantomCSLoader і PhantomSAgent. Компоненти написані на різних технологіях (PowerShell, C++, C#), відрізняються логікою та методами запуску, однак мають подібну модель взаємодії з C2-серверами. Різнотипність компонентів зменшує ймовірність одночасного спрацювання сигнатур чи окремих поведінкових правил: блокування одного елемента не зупиняє всю атаку.
SSH-тунелювання: приховані канали управління і обхід периметра
У низці епізодів зловмисники налаштовують SSH-тунелі для доступу до внутрішніх сегментів мережі та проксування C2-трафіку. Це дає змогу маскувати керуючі з’єднання під легітимний протокол, ускладнюючи виявлення на межових пристроях і системах моніторингу.
MITRE ATT&CK: прив’язка технік і фокус на TTP
Спостережувані TTP корелюють із тактиками MITRE ATT&CK: Initial Access — T1566.001 (spearphishing attachment), Execution — T1059 (Command and Scripting Interpreter, зокрема PowerShell), Command and Control — T1572 (Protocol Tunneling) та T1021.004 (Remote Services: SSH). Багатоступенева побудова підвищує стійкість до точкових IoC-блокувань і змушує оборону зміщувати акцент на поведінкові ознаки та детекцію TTP, а не на окремі хеші чи домени.
Контекст кампанії: багатошаровість як ознака зрілості
Паралельні «гілки» компонентів і швидка ротація інфраструктури вказують на роботу однієї чи кількох підгруп під парасолькою Head Mare. Такий підхід притаманний зрілим загрозовим акторам: нарощується надлишковість, прискорюються оновлення та ускладнюється атрибуція. У ширшому контексті фішинг багаторічно лишається провідним вектором початкового доступу, що підтверджується галузевими звітами з інцидентів і оглядами загроз (напр., Verizon DBIR, аналізи провідних вендорів).
Практичні заходи захисту: від пошти до мережевої телеметрії
Поштовий периметр: застосовуйте песочниці з аналізом контейнерів і polyglot-файлів (детонація контенту, реконструкція форматів), суворі політики для вкладень/макросів, перевірку DKIM/DMARC/SPF.
EDR/XDR і поведінковий аналіз: відстежуйте підозріле використання PowerShell і інших інтерпретаторів, а також аномалії вихідних з’єднань до C2. Зміщуйте фокус із IoC на правила за TTP (YARA/Sigma), корелюйте події з хостів і мережі.
Мережевий контроль: моніторинг і обмеження SSH-тунелів (контроль вихідних 22/tcp, виявлення тривалих інтерактивних сесій, TLS-обгорток, нетипових портів), сегментація, принцип найменших привілеїв і чіткі ACL.
Політики виконання й управління уразливостями: контроль запуску скриптів (AppLocker/WDAC), пріоритет підписаних бінарів, інвентаризація та блокування несанкціонованих завантажувачів.
Еволюція Head Mare підкреслює: точкової фільтрації вкладень уже недостатньо. Організаціям варто інвестувати в багатошарову оборону — від глибокої інспекції поштового трафіку до EDR/XDR з поведінковою аналітикою, а також у контроль тунелювання та регулярні тренінги з фішингової гігієни. Це зменшить імовірність успішного проникнення і пришвидшить реагування на інциденти.
