В начале июля специалисты «Лаборатории Касперского» зафиксировали две волны таргетированных почтовых рассылок с вредоносными архивами или ссылками внутри. Получателями этих писем, нацеленных на российские компании, были около 1000 сотрудников организаций из сфер производства, финансов и энергетики, а также государственных учреждений.

Первая волна рассылок прошла 5 июля и затронула около 400 пользователей, вторая, более массовая, была замечена 10 июля — получателями стали свыше 550 пользователей.

Сообщается, что в некоторых случаях злоумышленники писали от лица контрагентов атакуемых организаций в ответ на уже существующую цепочку писем. Исследователи полагают, что для этого хакеры использовали взломанные почтовые ящики либо ранее похищенные переписки. Так, письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.

В письмах атакующие распространяли RAR-архив, который мог находиться во вложении или загружаться из Google Drive по ссылке в теле письма. В большинстве случаев архив был защищен паролем, который также был указан в письме.

Внутри архива находился документ-приманка, а также одноименная папка, содержащая файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»). Такая структура архива использовалась  для эксплуатации уязвимости в WinRAR (CVE-2023-38831), обнаруженной в прошлом году.

При этом атакующие постоянно меняли легенду, под видом которой просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызывать сомнений у потенциальных получателей.

В случае открытия упомянутого файла на устройство жертвы должна была установиться малварь семейства Backdoor.Win64.PhantomDL. Вредонос написан на языке Go, сильно обфусцирован и отличается использованием нестандартной версии упаковщика UPX. PhantomDL впервые был замечен в марте 2024 года, а предшествовал ему инструмент PhantomRAT, написанный на .NET. По сути это то же ПО, только написанное на другом языке.

Малварь использовалась для установки и запуска различных вредоносных утилит, в том числе для удаленного администрирования. В частности, исследователи замечали в подобных атаках установку утилит rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и других.

Кроме того, этот бэкдор используется для загрузки различных файлов с компьютера жертвы на сервер злоумышленников. Как правило, это результаты и логи выполнения различных утилит, но также возможна и загрузка любых других конфиденциальных документов.

На основании применявшейся в атаках малвари, индикаторов компрометации, а также тактик, техник и процедур злоумышленников, эксперты полагают, что за атаками PhantomDL стоит хакерская группировка Head Mare.

Также в отчете отмечается, что аналогичные по оформлению, целям, названиям и формату вложений рассылки наблюдались и ранее, однако в них распространялось другое вредоносное ПО. В частности, с конца апреля по начало июня 2024 года исследователи обнаруживали письма с похожим содержанием: во вложении якобы находились документы, защищенные паролем по требованию министерства, а сам пароль был указан в тексте письма.

В этих письмах распространялись экземпляры малвари DarkWatchman RAT, которая предоставляет злоумышленникам удаленный доступ к зараженной системе.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии