Отпечатки прошлого: F6 исследовала новые и ранее неизвестные активности группы PhantomCore
Эксперты департамента киберразведки компании F6 представили итоги исследования, посвящённого новым атакам группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной активности группы, относящейся к 2022 году. Специалисты F6 выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
PhantomCore –группировка, атакующая российские и белорусские компании. Впервые специалисты F6 обнаружили её в 2024 году. Отличительная черта PhantomCore – использование вредоносного программного обеспечения (ВПО) собственной разработки. Судя по количеству таких самописных программ, а также по числу атак, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за появлением новых уязвимостей.
В ходе исследования эксперты выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
При изучении инфраструктуры PhantomCore специалисты департамента Threat Intelligence F6 смогли найти уникальные пересечения в регистрационных данных доменов. Это позволило выявить дополнительные домены и связанные с ними семплы, датируемые 2022 годом, которые удалось атрибутировать группе Phantomcore.
Как выяснили специалисты F6, в 2022 году PhantomCore распространяла дроппер VALIDATOR.msi с вредоносным ПО StatRAT и исполняемым файлом-приманкой, который мимикрировал под якобы легитимное программное обеспечение «Валидатор 1.0» для проверки сети на
Читать на habr.com
