У січні було зафіксовано нову хвилю цільових фішингових атак, пов’язаних із діяльністю групування PhantomCore. За даними фахівців компанії F6, 19 та 21 січня кіберзлочинці провели серію спрямованих розсилок проти організацій у різних секторах економіки Росії та Білорусі — від ЖКГ і фінансів до аерокосмічної галузі й великих маркетплейсів.
Група PhantomCore: фокус на Росії та Білорусі
Групування PhantomCore цілеспрямовано відстежується з 2024 року і, за поточними спостереженнями, спеціалізується саме на атаках проти російських та білоруських компаній. Свою назву воно, ймовірно, отримало через використання простору імен Phantom у .NET-інструментах, а також рядка MicrosoftStatisticCore, який фіксувався у запланованих завданнях на скомпрометованих хостах.
PhantomCore використовує типову для сучасного цільового кібершпигунства модель: фішинговий лист → виконання PowerShell-скрипта → закріплення у системі → віддалене керування. Відмінність останньої кампанії — у поєднанні ярлика LNK та архіву, замаскованого під DOC-документ, що дозволяє обійти частину базових фільтрів електронної пошти та збільшує ймовірність помилки користувача.
Сценарій цільової фішингової атаки PhantomCore
LNK-ярлик та маскування під DOC-документ
Жертвам надсилаються листи з темою «ТЗ на согласование», яка органічно виглядає у контексті ділового листування. У вкладенні міститься архів із двома файлами: ярликом .lnk та нібито документом .doc. Насправді цей «DOC» є RAR-архівом із документом-приманкою — користувач бачить очікуваний файл, тоді як основне зараження вже запущене.
Після відкриття LNK-файла запускається cmd, який через змінні середовища знаходить PowerShell та завантажує першу стадію шкідливого коду. Такий підхід спирається на техніку Living off the Land: використання вбудованих інструментів Windows для зниження помітності та обходу простих сигнатурних детекторів.
Закріплення через планувальник завдань Windows
PowerShell-скрипт першої стадії виконує одразу кілька функцій: відображає документ-приманку, підвантажує наступну фазу малварі без запису на диск та реєструє себе у планувальнику завдань Windows. Створене завдання запускається одразу після додавання, далі — кожні 61 секунду, а також на початку кожного нового дня.
Такий інтервал та схема запуску забезпечують перманентну присутність шкідливого коду навіть після перезавантажень та спроб локальної очистки. Для адміністраторів, які не ведуть централізований аудит планувальника та не корелюють події у SIEM, виявлення такої активності істотно ускладнюється.
Можливості PowerShell-бекдора PhantomCore
Друга стадія — це PowerShell-скрипт, практично ідентичний відомому раніше PhantomCore.PollDL (PhantomeRemote). Після запуску бекдор встановлює зв’язок із сервером керування (C2), надсилаючи HTTP-запит GET з передачею UUID пристрою, імені комп’ютера та доменного імені.
У відповідь C2 повертає команду у форматі cmd:{команда}|{id_команди}. Інструкція виконується через Invoke-Command у PowerShell, а результати відправляються назад запитом POST. В актуальній версії виявлено підтримку лише типу cmd, хоча раніше фіксувалась і команда download для завантаження додаткових файлів на скомпрометований хост.
Фактично PhantomCore розгортає на зараженій системі віддалений командний інтерфейс, придатний як для розвідки мережевої інфраструктури, так і для подальшої ескалації — розгортання іншого шкідливого ПЗ, збору облікових даних та lateral movement у межах домену.
Інфраструктура атак та індикатори компрометації (IOC)
Під час аналізу кампанії експерти F6 виявили низку ресурсів, що використовувалися як хостинг для шкідливих скриптів: ink-master[.]ru, spareline[.]ru, shibargan[.]ru, act-print[.]ru, metelkova[.]ru, mistralkorea[.]ru, ast-automation[.]ru. Звернення до цих доменів можуть розглядатися як важливі індикатори компрометації для SOC та систем моніторингу.
Розсилка фішингових листів здійснювалася з адрес, які належать, імовірно, легітимним російським компаніям: npocable-s[.]ru, satnet-spb[.]ru, nppntt[.]ru, tk-luch[.]ru, skbkp.tarusa[.]ru. Це вказує на можливе захоплення їх поштової інфраструктури або облікових записів. Використання реальних доменів значно підвищує довіру до листів і збільшує шанс відкриття вкладень співробітниками.
Як захиститися від PhantomCore та подібних фішингових кампаній
Ефективний захист від цільових фішингових атак на кшталт PhantomCore потребує поєднання технічних та організаційних заходів. У першу чергу варто посилити безпеку поштової інфраструктури: коректно налаштувати SPF, DKIM, DMARC, використовувати сучасні поштові шлюзи з аналізом вкладень і посилань, а також sandbox-рішення для безпечної «детонації» підозрілих файлів.
Другий критичний напрям — контроль PowerShell: увімкнення Script Block Logging, обмеження виконання непідписаних скриптів, застосування AppLocker або Windows Defender Application Control, моніторинг нетипових команд і запусків PowerShell від імені звичайних користувачів.
Не менш важливо регулярно перевіряти планувальник завдань Windows: здійснювати аудит нових і змінених задач, співставляти їх появу з легітимними оновленнями ПЗ, вивантажувати події створення/зміни задач у SIEM для кореляції з іншими індикаторами.
Критичну роль відіграє і навчання співробітників. Практичні тренінги з розпізнавання фішингу, особливо листів на теми «узгодження ТЗ», «рахунок», «договір», разом із простою процедурою повідомлення в підрозділ ІБ, помітно знижують ймовірність успішної атаки навіть за наявності складних технічних трюків з LNK та архівами.
Організаціям варто перевірити свої журнали на наявність звернень до вказаних доменів і вихідних листів із зазначених адрес, проаналізувати підозрілі завдання у планувальнику та аномальні запуски PowerShell. Детальний технічний розбір кампанії PhantomCore, доступний у звіті F6 на платформі Malware Detonation, може стати основою для налаштування власних правил детектування, вдосконалення SOC-процесів та планомірного підвищення кіберстійкості компанії.
