PhantomCore: ваши новые невидимые коллеги. Они уже две недели в сети, а вы их даже не заметили

Две недели злоумышленники незаметно двигались по корпоративной сети, перехватывали учетные данные и расширяли доступ, пока атаку не прервали уже на этапе внедрения системы защиты. Инцидент показал, как быстро ошибки в инфраструктуре превращаются в полный контроль над доменом.

В январе 2026 года решение PT X во время установки в инфраструктуру заказчика зафиксировало аномальную активность на хостах, защищаемых MaxPatrol EDR. Уже через 15 минут после обнаружения система выдала рекомендацию заблокировать доменную учетную запись администратора с подозрительным поведением. Спустя полтора часа компания подтвердила факт компрометации и вместе с командой PT X начала локализацию атаки.

К расследованию подключилась группа реагирования PT ESC IR. Специалисты установили, что за атакой стоит группировка PhantomCore, известная с марта 2024 года. Группировка атакует российские организации из госсектора, судостроения, добывающей отрасли и ИТ, основной интерес связан с кибершпионажем. Точкой входа стала уязвимость в платформе видеоконференцсвязи, через которую злоумышленники получили доступ в корпоративную сеть.

Атакующие использовали недостатки защиты инфраструктуры: запустили вредоносное ПО с управляющего сервера, перехватили пароли доменного администратора и продолжили движение внутри сети с помощью утилиты atexec.py. Отсутствие сегментации и разделения привилегий позволило расширить доступ. Под контроль попали контроллер домена и служба сертификации Active Directory.

Совместная работа команды заказчика и специалистов Positive Technologies позволила за сутки перекрыть связь с управляющим сервером и сбросить скомпрометированные учетные записи. Расследование и устранение последствий заняли несколько дней. Параллельно инженеры усилили защиту: исправили ошибки конфигурации, ужесточили политику паролей и закрыли уязвимые участки инфраструктуры.

Анализ инцидента показал, что злоумышленники сохраняли незаметность около двух недель и могли развить атаку дальше при отсутствии мониторинга. Своевременное обнаружение на этапе внедрения позволило остановить развитие атаки до критического ущерба.

Алексей Новиков, управляющий директор Positive Technologies, отметил, что компании часто откладывают развитие кибербезопасности, считая себя неинтересной целью. Практика показывает обратное: под атаки попадает и средний бизнес. В рассматриваемом случае раннее выявление и оперативная реакция позволили избежать наиболее тяжелых последствий.

После завершения работ специалисты передали рекомендации по повышению защищенности. Компания внедрила изменения, чтобы снизить риск повторной компрометации. В рамках дальнейшей работы заказчик получил доступ к кибериспытаниям — регулярной проверке защищенности с участием независимых исследователей, которые пытаются реализовать критические сценарии атак.