«Работаем на благо страны», — думали системные администраторы, пока их сети тихо сливались врагам

phantomcore Positive technologies кибератака инфраструктура безопасность
«Работаем на благо страны», — думали системные администраторы, пока их сети тихо сливались врагам
phantomcore Positive technologies кибератака инфраструктура безопасность

PhantomCore обновили арсенал. В России зафиксировано более 180 заражений.

image

Positive Technologies зафиксировала новую волну атак кибершпионской группировки PhantomCore, нацеленных исключительно на критически значимую инфраструктуру России. Эксперты компании предотвратили наступление недопустимых событий и уведомили пострадавшие организации.

С мая по июль специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) выявили более 180 заражённых систем в российских организациях. Первое заражение было зафиксировано 12 мая, а пик пришёлся на июнь: 56% всех случаев пришлось на 30 июня. В среднем злоумышленники находились в скомпрометированной сети 24 дня, максимально — 78. По меньшей мере 49 хостов остаются под контролем PhantomCore.

Среди пострадавших оказались государственные учреждения, научно-исследовательские институты, предприятия оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компании.

По данным Positive Technologies, PhantomCore действует с начала 2024 года и специализируется на получении доступа к конфиденциальной информации. Группировка применяет широкий набор инструментов: от популярных опенсорсных утилит и обновлённых версий известных решений до собственных разработок, ранее не встречавшихся исследователям.

Такая комбинация позволяет хакерам длительное время оставаться незамеченными внутри заражённых сетей. Инфраструктура PhantomCore чётко сегментирована: каждое звено отвечает за определённые функции и управление конкретными классами инструментов.

Почти половина вредоносной инфраструктуры (48%) размещена в России, преимущественно в сетях трёх провайдеров. Зарубежная инфраструктура (52%) распределена между Финляндией, Францией, Нидерландами, США, Германией, Гонконгом, Молдавией и Польшей. На долю канадского провайдера приходится 33% всей инфраструктуры.

Ведущий специалист группы киберразведки PT ESC TI Виктор Казаков отметил, что рост активности PhantomCore связан с обновлением арсенала: «Вероятно, до конца апреля злоумышленники подготавливали новую серию атак, работая преимущественно над инструментарием». По его словам, удалось выявить и отдельное ответвление PhantomCore, созданное, предположительно, одним из членов основной группы. Оно состоит из менее квалифицированных участников и используется для расширения киберпреступной активности.

По оценке Positive Technologies, уровень угрозы от PhantomCore для российских организаций останется высоким. Эксперты продолжат отслеживать деятельность группировки и предупреждать о готовящихся кибератаках.