- Автор темы
- #1
Эксперты «Лаборатории Касперского» обнаружили новую волну атак группы Head Mare, нацеленных на российские и белорусские компании. Хакеры продолжают совершенствовать набор своих инструментов для получения первоначального доступа и закрепления в системе.
По словам исследователей, в новых атаках летом 2025 года использовалась цепочка из нескольких бэкдоров, а не один бэкдор, как было в марте текущего года. Теперь группировка использует малварь PhantomRemote, PhantomCSLoader и PhantomSAgent. Помимо этого, в некоторых случаях злоумышленники также устанавливали SSH-туннели для удаленного доступа к скомпрометированной инфраструктуре.
Предполагается, что таким способом атакующие пытались обойти средства защиты, рассчитывая на то, что в случае обнаружения одного бэкдора в системе останутся остальные.
Атаки Head Mare по-прежнему начинаются с рассылки вредоносных писем. На этот раз они содержали вложение с бэкдором PhantomRemote, позволяющим удаленно выполнять команды на зараженном устройстве. Для сокрытия кода во вложении использовалась техника polyglot, позволяющая объединять несколько файлов разных форматов в один без потери их работоспособности.
Также злоумышленники заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров — PhantomCSLoader и PhantomSAgent — для закрепления в системе. Эти вредоносы написаны с использованием разных технологий (PowerShell, C++, C#), различаются по внутренним механизмам работы, но используют схожую модель взаимодействия с управляющим сервером. Это тоже указывает на то, что в случае выявления одного из вредоносных компонентов другой должен был продолжить работу в скомпрометированной системе.
Исследователи заключают, что улучшение инструментария группировки может происходить в рамках одной или нескольких подгрупп, которые действуют с общей целью и используют похожие инструменты, однако имеют несколько отличающийся друг от друга почерк.
По словам исследователей, в новых атаках летом 2025 года использовалась цепочка из нескольких бэкдоров, а не один бэкдор, как было в марте текущего года. Теперь группировка использует малварь PhantomRemote, PhantomCSLoader и PhantomSAgent. Помимо этого, в некоторых случаях злоумышленники также устанавливали SSH-туннели для удаленного доступа к скомпрометированной инфраструктуре.
Предполагается, что таким способом атакующие пытались обойти средства защиты, рассчитывая на то, что в случае обнаружения одного бэкдора в системе останутся остальные.
Атаки Head Mare по-прежнему начинаются с рассылки вредоносных писем. На этот раз они содержали вложение с бэкдором PhantomRemote, позволяющим удаленно выполнять команды на зараженном устройстве. Для сокрытия кода во вложении использовалась техника polyglot, позволяющая объединять несколько файлов разных форматов в один без потери их работоспособности.
Также злоумышленники заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров — PhantomCSLoader и PhantomSAgent — для закрепления в системе. Эти вредоносы написаны с использованием разных технологий (PowerShell, C++, C#), различаются по внутренним механизмам работы, но используют схожую модель взаимодействия с управляющим сервером. Это тоже указывает на то, что в случае выявления одного из вредоносных компонентов другой должен был продолжить работу в скомпрометированной системе.
Исследователи заключают, что улучшение инструментария группировки может происходить в рамках одной или нескольких подгрупп, которые действуют с общей целью и используют похожие инструменты, однако имеют несколько отличающийся друг от друга почерк.