Атаки PhantomCore в 2025-м: самописный бэкдор и приманка-договор

Атаки PhantomCore в 2025-м: самописный бэкдор и приманка-договор

Атаки PhantomCore в 2025-м: самописный бэкдор и приманка-договор

Эксперты из департамента киберразведки компании F6 рассказали о новых атаках группировки PhantomCore, которые произошли в мае этого года. Они также нашли следы деятельности этой же группы, датированные 2022 годом, о которых ранее ничего не было известно.

Специалисты проследили, как со временем менялись инструменты и цели атак: если изначально злоумышленники занимались кражей, повреждением и уничтожением данных, то ближе к 2024 году они переключились на шифрование инфраструктуры и вымогательство денег.

PhantomCore нацелена в основном на российские и белорусские компании. Впервые её активность зафиксировали в 2024 году. Отличительная черта этой группировки — использование самописных программ.

Судя по их количеству и разнообразию, у PhantomCore есть команда разработчиков, которая регулярно совершенствует инструменты и отслеживает новые уязвимости.

Во время анализа инфраструктуры PhantomCore специалисты F6 нашли пересечения в регистрационных данных доменов. Это позволило выявить дополнительные ресурсы и связанные с ними образцы вредоносных файлов, датируемые 2022 годом.

Тогда группа распространяла файл VALIDATOR.msi, в котором находились троян StatRAT и исполняемый файл-приманка, маскирующийся под легитимную утилиту «Валидатор 1.0» для проверки сетей на соответствие федеральному закону. StatRAT позволял выполнять команды с управляющего сервера, извлекать данные и удалять файлы на заражённой системе.

 

В 2025 году PhantomCore продолжила дорабатывать свои инструменты и переписывать их на разные языки программирования. 5 мая благодаря системе почтовой защиты F6 удалось выявить и заблокировать вредоносные рассылки, которые связали с этой группой. Письма с темой «Документы на рассмотрение (повторно)» пришли с трёх, вероятно, взломанных доменов. Получателями стали организации из промышленного сектора, энергетики и ЖКХ.

Во вложении находился архив с названием «Документы_на_рассмотрение.zip». Внутри — PDF-файл с договором между двумя компаниями и исполняемый файл, который оказался обновлённой версией бэкдора PhantomCore под названием PhantomeCore.GreqBackdoor v.2.

Мосбиржа подключает ИИ к охоте за рыночными манипуляциями

Московская биржа внедряет инструменты на базе искусственного интеллекта, чтобы быстрее выявлять манипулирование рынком и инсайдерскую торговлю. Об этом сообщили в пресс-службе площадки. ИИ планируют глубоко встроить в комплаенс-процессы, во внутренний контроль за соблюдением правил и норм.

Система будет автоматически анализировать сотни тысяч сделок, связанные метрики взаимной торговли и признаки возможной координации между участниками рынка.

Проще говоря, если кто-то решил поиграть в случайные совпадения на бирже, алгоритмы должны заметить это быстрее человека.

Технология также будет формировать базу поведенческих метрик. Затем результаты анализа передадут специалистам, которые уже будут разбирать конкретные случаи и принимать решения по итогам расследований.

В Мосбирже отмечают, что это часть более широкой работы по применению технологий для развития рыночной инфраструктуры и усиления внутреннего контроля.

Старший управляющий директор по комплаенсу и этике бизнеса Московской биржи Ирина Грекова пояснила, что ИИ помогает быстрее обрабатывать большие массивы данных.

По её словам, в перспективе одного-двух лет ИИ-ассистенты и автоматизация процессов позволят освободить экспертов от части рутины, направить их ресурсы на сложные случаи, увеличить число расследований и сократить сроки принятия мер.

Так что биржевым хитрецам, похоже, станет сложнее прятаться в потоке сделок. Там, где раньше человеку приходилось долго копаться в массивах данных, теперь будет работать ИИ — холодный, быстрый и не устающий от подозрительных паттернов.

RSS: Новости на портале Anti-Malware.ru