Эксперты F.A.C.C.T. выявили новую кибергруппу, атакующую российские компании. Мотивы PhantomCore точно не определены, но использование RAT-трояна свидетельствует в пользу шпионажа.
По данным аналитиков, новая группировка объявилась в рунете в январе этого года. Используемый ею троян PhantomRAT уникален и ранее не документировался.
Атаки PhantomCore начинаются с рассылки поддельных писем на адреса целевой компании. Приаттаченный RAR-архив под паролем содержит PDF-документ и одноименную папку с вредоносным исполняемым файлом, который запускается при открытии PDF.
Образец фишингового письма, отправленного группой PhantomCore
Цепочка заражения использует не известный ранее вариант эксплойта CVE-2023-38831, финальной полезной нагрузкой является PhantomRAT. Для большей скрытности злоумышленники также используют .NET—приложения с опцией развертывания одним файлом (single-file deployment).
Обнаруженные тестовые образцы трояна были впервые загружены на VirusTotal с территории Украины.
