PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

https://habr.com/ru/companies/bastion/articles/1027224/

#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

PhantomCore Exploits TrueConf Flaws to Breach Russian Networks

Researchers Daniil Grigoryan and Georgy Khandozhko revealed that PhantomCore attackers exploited a chain of three TrueConf Server vulnerabilities, including insufficient access control and file reading flaws, to breach Russian networks. This sophisticated attack highlights the importance of addressing these critical…

https://osintsights.com/phantomcore-exploits-trueconf-flaws-to-breach-russian-networks?utm_source=mastodon&utm_medium=social

#Phantomcore #TrueconfServerVulnerabilities #Bdu202510114 #Bdu202510115 #Bdu202510116

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

«Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

https://habr.com/ru/companies/F6/articles/1024486/

#phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Атрибуция Exchange-кейлоггеров к группировке PhantomCore

Салют, Хабр! На связи вновь команда киберразведки экспертного центра безопасности Positive Technologies и мы с новым расследованием, которое... как любое, наверно, детективное дело имеет свои предпосылки и всевозможные зацепки. Речь пойдет о группировке PhantomCore и ее темном прошлом, тайны которого мы извлекли на свет...

https://habr.com/ru/companies/pt/articles/936878/

#хакеры #aptгруппа #phantomcore #кибератаки #кейлоггеры #microsoft_exchange #outlook

Призрачно всё: новые рассылки кибершпионов PhantomCore на российские компании с использованием PhantomCore.KscDL_trim

5 сентября специалистами F.A.C.C.T. было зафиксировано несколько рассылок группы PhantomCore , нацеленных в адрес российской ИТ-компании, являющейся разработчиком ПО и онлайн-касс, компании, занимающейся организацией командировок, конструкторского бюро, производителя систем и высокотехнологичного оборудования беспроводной связи.

https://habr.com/ru/companies/f_a_c_c_t/articles/841348/

#threat_intelligence #киберразведка #phantomcore #кибершпионаж