home.social

#phantomcore — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #phantomcore, aggregated by home.social.

  1. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  2. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  3. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  4. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  5. Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

    С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

    habr.com/ru/companies/pt/artic

    #расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

  6. Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

    С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

    habr.com/ru/companies/pt/artic

    #расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

  7. Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

    С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

    habr.com/ru/companies/pt/artic

    #расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

  8. Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

    С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

    habr.com/ru/companies/pt/artic

    #расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

  9. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  10. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  11. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  12. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  13. Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

  14. Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

  15. Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

  16. Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

  17. Атрибуция Exchange-кейлоггеров к группировке PhantomCore

    Салют, Хабр! На связи вновь команда киберразведки экспертного центра безопасности Positive Technologies и мы с новым расследованием, которое... как любое, наверно, детективное дело имеет свои предпосылки и всевозможные зацепки. Речь пойдет о группировке PhantomCore и ее темном прошлом, тайны которого мы извлекли на свет...

    habr.com/ru/companies/pt/artic

    #хакеры #aptгруппа #phantomcore #кибератаки #кейлоггеры #microsoft_exchange #outlook

  18. Призрачно всё: новые рассылки кибершпионов PhantomCore на российские компании с использованием PhantomCore.KscDL_trim

    5 сентября специалистами F.A.C.C.T. было зафиксировано несколько рассылок группы PhantomCore , нацеленных в адрес российской ИТ-компании, являющейся разработчиком ПО и онлайн-касс, компании, занимающейся организацией командировок, конструкторского бюро, производителя систем и высокотехнологичного оборудования беспроводной связи.

    habr.com/ru/companies/f_a_c_c_

    #threat_intelligence #киберразведка #phantomcore #кибершпионаж