FACCT 威胁情报部门的专家发现了一个名为 PhantomCore 的新黑客组织。自 2024 年 1 月以来，该组织一直使用一种独特的、以前未知的远程访问木马 PhantomRAT 积极攻击俄罗斯公司。

PhantomCore 攻击从包含受密码保护的 RAR 存档的网络钓鱼电子邮件开始。档案的密码直接在信中注明。在档案中，攻击者利用 WinRAR 漏洞的新变体 (CVE-2023-38831)，其中使用 RAR 档案而不是 ZIP。

PhantomCore 组发送的网络钓鱼电子邮件示例

档案本身包含一个 PDF 文档和一个可执行文件所在的同名目录。当您尝试打开 PDF 时，会启动恶意可执行文件。最后发现的阶段是 PhantomRAT 远程访问木马。该组织还使用 .NET 应用程序和单文件部署选项，使检测受感染的系统变得困难。

到目前为止，攻击的动机尚未明确，但从目标和方式来看，很可能是网络间谍活动。有趣的是，其中一个旨在测试 PhantomRAT 版本的文件于 2024 年 2 月 26 日从基辅首次上传到 VirusTotal。乌克兰还发布了另外两个独特的 PhantomCore 恶意软件的测试样本。

据 FACCT预测 ，2024年俄罗斯企业和政府机构面临的主要网络威胁将是勒索者、网络间谍、破坏者和寻找数据库的黑客活动分子。

该公司的博客 上提供了有关新组织首次攻击的详细信息以及妥协指标 。

文章原文链接:https://www.anquanke.com/post/id/294404