В конце прошлого года аналитики «Лаборатории Касперского» зафиксировали новую кампанию проукраинской группировки Head Mare. На этот раз атакующие нацелились на российские госструктуры, строительные и промышленные компании. Ключевой находкой исследователей стал бэкдор PhantomHeart, который сначала распространялся как DLL-библиотека, а затем его переписали на PowerShell.
Исследователи пишут, что этот переход показывает, что Head Mare все плотнее использует подход Living-off-the-Land (LOTL), когда вредоносные действия выполняются через штатные средства Windows. Никаких дополнительных бинарников — только скрипты и встроенные инструменты системы.
Вектор первоначального доступа остался прежним: Head Mare продолжает эксплуатировать старую уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях по-прежнему работают и фишинговые рассылки.
Зато обновился арсенал для постэксплуатации, ключевым инструментом которого стал PowerShell-бэкдор PhantomHeart. Его основная функция — развертывание SSH-туннеля по команде от управляющего сервера. Злоумышленники получают устойчивый удаленный доступ к системе цели, а малварь параллельно собирает базовую информацию о системе: имя компьютера, домен, внешний IP-адрес и уникальный ID жертвы.
Эксперты особенно выделяют механизм закрепления в системе. Так, в одной из атак бэкдор запускался через планировщик задач, маскируясь под легитимный скрипт обновления LiteManager. Вредонос размещался в директории средства удаленного администрирования и притворялся частью его штатной работы.
Кроме того, Head Mare переписала на PowerShell и другой свой инструмент — PhantomProxyLite. Раньше он представлял собой скомпилированный бинарник, работавший как фоновый сервис SSHService. Теперь ту же логику реализовали через скрипт. Закрепление осуществляется через задачу планировщика Windows с тем же названием, настроенную на запуск от имени SYSTEM при старте системы. Бэкдор использует тот же ключ реестра для хранения порта, создает временный конфигурационный файл SSH-туннеля в C:\Windows\Temp и запускает ssh.exe для установления обратного туннеля.
Исследователи заключают, что переход к скриптовой реализации демонстрирует, что группировка делает ставку на LOTL-подход. Таким образом группа адаптирует инструмент под конкретные условия, реализуя вредоносную функциональность без использования отдельных скомпилированных компонентов.
Для автоматизации развертывания PhantomProxyLite злоумышленники применяют вспомогательный скрипт Create-SSHServiceTask.ps1. Он настраивает задачу планировщика, которая запускает основной бэкдор при старте системы с максимальными привилегиями от SYSTEM. Если задача с таким именем уже существует, скрипт удаляет ее и создает новую, гарантируя согласованную конфигурацию.
Помимо PowerShell-бэкдоров Head Mare расширила вспомогательный инструментарий для постэксплуатации. Исследователи нашли новые утилиты для автоматизации типовых задач: закрепления в системе, управления привилегиями и организации сетевого доступа.
Также в арсенале группы был замечен MicroSocks — реализация SOCKS5-прокси из открытого репозитория на GitHub. В общей цепочке атак эти утилиты подчеркивают ориентацию группы на автоматизацию и снижение операционной нагрузки. Все это позволяет группировке проводить большее количество атак и повышать их сложность.
«Текущая активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак. Появление нового бэкдора PhantomHeart и все более активное использование средств автоматизации делают такие операции проще в повторении и масштабировании. За счет этого Head Mare может регулярно проводить новые кампании и продолжает представлять ощутимую угрозу для российских организаций из различных отраслей», — резюмируют специалисты.
