Специалисты компании F6 обнаружили новую группу кибершпионов, активность которой, по имеющимся данным, началась с января 2024 года. Группа получила название PhantomCore по причине того, что злоумышленники используют уникальный, ранее не описанный троян удаленного доступа — PhantomRAT.
Первоначальным вектором атаки PhantomCore на российские компании являются фишинговые письма, содержащие защищенные паролем RAR-архивы (пароль содержится в теле письма). Они эксплуатируют вариацию уязвимости WinRAR —CVE-2023-38831, в которой вместо ZIP-архивов используются RAR. Сами архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл. После попытки открытия PDF-документа вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT.
Ключевые находки
- Специалисты F6 обнаружили новый кластер угроз — группу, атакующую российские компании начиная с января 2024 года.
- Злоумышленники используют уникальный троян удаленного доступа PhantomRAT.
- Атакующие эксплуатируют ранее не описанную вариацию уязвимости CVE-2023-38831, где вместо ZIP-архивов, используются RAR.
- Группа использует .NET-приложения с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе.
Киллчейн атаки
Киллчейн атаки группы PhantomCore 8 февраля 2024 года:
Рис. 1 — Киллчейн атаки группы PhantomCore.
Описание атаки
Специалистами компании F6 были обнаружены письма, отправленные 8 февраля 2024 года.
Рис. 2 — Фишинговое электронное письмо.
Письма содержат информацию о направлении договора и вложенный архив, защищенный паролем (пароль содержится в теле письма — Qwe123). Скриншоты содержимого архива:
Рис. 3, 4 - Содержимое архива "Договор №771-86.rar”
Рис. 3, 4 - Содержимое архива "Договор №771-86.rar”
Злоумышленники используют разновидность CVE-2023-38831, эксплуатируя ту же уязвимость WinRAR. Исключением является использование RAR-архивов вместо ZIP. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл, содержащий «Акт сверки». Скриншот легитимного PDF-файла:
Рис. 5 — PDF-документ приманка.
Исполняемый файл «Договор №771-86.pdf .exe» является .NET-приложением, с опцией развертывания одним файлом (single-file deployment). В данном типе приложений .NET-библиотеки (модули) содержатся в теле файла в сериализованном виде. Это также может использоваться, как метод защиты вредоносного ПО от обнаружения различными средствами защиты системы.
Данное приложение содержит .NET-библиотеку service.dll. Библиотека является загрузчиком и будет запущена в контексте основного исполняемого файла. Данная библиотека содержит функциональные возможности для загрузки и записи файла в систему (для удаленного хранения файлов используется сервис FileTransfer[.]io), а также закрепления загруженного файла в системе, путем создания запланированной задачи. Далее по тексту данное вредоносное ПО будет иметь название PhantomCore.Downloader.
Рис. 6 — Main-функция PhantomCore.Downloader.
URL-адрес, с которого выполняется загрузка файла:
- hxxps://filetransfer[.]io/data-package/hmiQV0vH/download
Путь, по которому будет сохранен загруженный файл:
- %AppData%\Microsoft\Windows\EventManager.exe
Закрепление в зараженной системе выполняется путем создания запланированной задачи. Данная задача будет сформирована с помощью заранее подготовленного XML-файла, который будет создан по следующему пути %AppData%\Microsoft\Windows\link.xml, а также команды в интерпретаторе командной строки cmd.exe — schtasks. Команда, которая будет выполнена в системе:
- schtasks -create -tn MicrosoftStatisticCore /XML %AppData%\Microsoft\Windows\link.xml
Параметры запланированной задачи:
| Name | MicrosoftStatisticCore |
| Path | \ |
| Author | Microsoft Corporation |
| Action | pcalua.exe -a %AppData%\Microsoft\Windows\EventManager.exe |
PhantomRAT
Загруженный файл EventManager.exe также является .NET-приложением с опцией развертывания одним файлом (single-file deployment). Данный файл содержит .NET-библиотеку EventManager.dll. Она была классифицирована нами как ранее не описанное, вредоносное ПО PhantomRAT.
PhantomRAT — это троян удаленного доступа, основанный на .NET. PhantomRAT имеет следующие возможности: загрузка файлов с C2-сервера, выгрузка файлов со скомпрометированного хоста на C2-сервер, а также выполнение команд в интерпретаторе командной строки cmd.exe. Троян использует протокол RSocket для коммуникации с C2-сервером.
Технические детали
Структура классов
Извлеченный модуль PhantomRAT имеет следующую структуру классов:
Рис. 7 — Структура классов PhantomRAT.
На скриншоте выше можно увидеть, что все классы расположены в пространстве имен phantom, отчего троян и получил свое название PhantomRAT.
Конфигурация трояна
Класс phantom.config.Configuration содержит конфигурационные параметры трояна. Пример конфигурационных параметров:
Рис. 8 — Пример конфигурации PhantomRAT.
- PRIMARY_END_POINT — основной C2-адрес, с которым будет выполнено соединение.
- SECONDARY_END_POINT — запасной C2-адрес. В случае, если основной адрес (PRIMARY_END_POINT) недоступен, они будут поменяны местами.
- KEY — AES-ключ, использующийся для шифрования и расшифровки данных при коммуникации с C2-адресом (данный ключ будет получен от сервера, после отправки данных о системе на сервер).
- RETRY_DELAY — объект TimeSpan, содержащий количество времени между попытками соединения с C2-адресом.
- MAX_RETRY_ATTEMPTS — количество доступных попыток соединения с C2-адресом.
- TIME_OUT_SHELL, TIME_OUT_COMMAND, TIME_PING, TIME_REQUEST, DEVIATION — параметры, влияющие на количество секунд простоя между выполнением различных запросов к C2-серверу.
Выполнение
После запуска PhantomRAT создаст объект импланта, который получает и хранит следующую информацию:
- случайно сгенерированный Uuid;
- имя узла локального компьютера (HostName);
- имя пользователя (UserName);
- локальный IP-адрес;
- внешний IP-адрес (будет получен путем выполнения запроса к hxxps://httpbin[.]org/ip);
- информация о версии операционной системы. Шаблон: «%Caption% (Version: %Version%)». Данные параметры будут получены в результате WMI-запроса «SELECT * FROM Win32_OperatingSystem»;
- временная метка (обновляется после каждой отправки данных о системе на C2-сервер).
Рис. 9 — Инициализация объекта Implant.
Когда объект был инициализирован, PhantomRAT создаст RSocket соединение с C2-сервером. После успешной установки соединения PhantomRAT перейдет в бесконечный цикл, в котором выполняются следующие действия:
- В случае, если в конфигурации отсутствует AES-ключ, то будет выполнен запрос к C2-адресу для его получения. Также в данном запросе будет отправлена информация о зараженной системе (описана в списке выше);
- Ping-Pong запрос к C2-серверу;
- Создание задачи для перехода в процесс циклического получения и выполнения команд от сервера.
После запуска задачи будет выполнен запрос к серверу, результатом которого ожидается получение от сервера зашифрованной строки «shell». В случае удовлетворительного ответа процесс исполнения будет передан в задачу, отвечающую за выполнение запросов для получения команд и их выполнения. В остальных случаях процесс продолжит свою работу без перехода к обработчику команд. Алгоритмом шифрования строки является AES-256 CBC, где ключ будет получен от сервера (также может быть заранее определен в конфигурации), а вектором инициализации является последовательность из 16 нулевых байт.
Когда процесс попадает в обработчик команд от сервера, будет выполнен запрос к C2-адресу, который содержит зашифрованную строку, имеющую следующий шаблон: [+] Start session on (%Uuid%). Алгоритм шифрования аналогичен ранее описанному. В случае, если ответом на данный запрос не является строка «Error», PhantomRAT выполнит запрос для получения зашифрованной команды от сервера.
Команды
Рис. 10 — Часть кода, отвечающая за обработку команд, полученных от C2-сервера.
PhantomRAT содержит функциональные возможности для обработки 3-х команд:
- Download;
- Upload;
- Выполнение команд CMD.
Команда Download
Данная команда выполняет эксфильтрацию файла на C2-сервер. Шаблон команды: «download %Path%». Где %Path% — это путь к файлу на зараженной системе. В данной команде используются 3 типа запроса, для обозначения начала файла, конца файла и самого тела файла. Последний тип запроса будет отправлен циклично, пока файл не будет полностью выгружен на C2-сервер, где каждый запрос вмещает 512000 байт файла.
Команда Upload
Данная команда используется для загрузки файла на зараженную систему. Шаблон команды: «upload %URL% %PATH%». Где %URL% — это URL-адрес, с которого будет загружен файл, а %PATH% — путь, по которому будет выполнено сохранение загруженного файла.
Команда для выполнения команд CMD
Команда используется для выполнения команд в интерпретаторе командной строки cmd.exe. Данная команда не содержит определенного ключевого слова, как в случае download и upload. В случае, если команда начинается с подстроки «cd «, данная подстрока будет заменена на «start /B /C cd «, после чего, данная команда будет выполнена на зараженной системе. В иных случаях, к команде будет добавлена подстрока «start /B /C chcp 866 && «, после чего, она также будет выполнена на зараженной системе. Результат работы команды и ошибки, возникшие в ходе ее выполнения, будут отправлены на C2-сервер в зашифрованном виде.
Сетевое взаимодействие
PhantomRAT использует RSocket-протокол для сетевого взаимодействия. RSocket — это двусторонний протокол передачи сообщений, разработанный для работы поверх различных транспортных слоев, таких как TCP, WebSockets и Aeron. В случае PhantomRAT, RSocket-протокол выполняет передачу данных посредством TCP-протокола. RSocket-протокол содержит 4 модели взаимодействия:
- Request-Response – отправка одного сообщения и получение одного в ответ;
- Request-Stream – отправка одного сообщения и получение потока сообщений в ответ;
- Channel – передача потоков сообщений в обоих направлениях;
- Fire-and-Forget– отправка одностороннего сообщения.
PhantomRAT реализует только две модели из выше представленных (Request-Response и Fire-and-Forget). Важно отметить, что данный протокол имеет два типа передаваемых данных: data и metadata. Для передачи данных троян использует поле data. Для определения типа запроса PhantomRAT использует поле metadata. Значения поля metadata, которые используются при выполнении запросов:
- «RTOil/a=»;
- «HPL3n2F=»;
- «hrOit/P=»;
- «CaYnkcC=»;
- «0vJbarOs»;
- «WDhesSST=»;
- «gheV1rSrQ=»;
- «IiEk1DsT=»;
- «pqs6fDsM=»;
- «86atvDE=»;
- «cbiXAFJW»;
- «cbiXAFJS»;
- «error»;
- «1vsbSrP=».
Исследование
Дополнительные файлы
В ходе нашего исследования, были также обнаружены другие файлы, принадлежащие аналогичным атакам, как та, которая была описана выше. Один из найденных образцов PhantomRAT — AppManager.exe, имеет такую же конфигурацию, что и образец, описанный выше. Данный семпл был загружен вредоносным ПО PhantomCore.Downloader (SHA1: edbb1735760db06a11039b42ddc68db7cda9cdc8), который использует следующий URL-адрес для загрузки PhantomRAT:
- hxxps://filetransfer[.]io/data-package/sxb66DYM/download
Также, был обнаружен RAR-архив «Информация по договору.rar», в котором использовалась аналогичная вариация уязвимости CVE-2023-38831. К найденному архиву был подобран пароль — «1111».
Рис. 11, 12 - Содержимое архива "Информация по договору.rar"
Рис. 11, 12 - Содержимое архива "Информация по договору.rar"
Исполняемый файл «Пример формы для заполнения.pdf .exe», расположенный внутри архива, был классифицирован как PhantomCore.Downloader, аналогичный тому, который использовался в описанной выше цепочке заражения. URL-адрес, с которого загружалась следующая стадия:
- hxxps://filetransfer[.]io/data-package/x250yuoZ/download
Загруженный файл WinDidget.exe классифицирован как PhantomRAT, и имеет конфигурацию:
internal class Configuration
{
public static int DEVIATION = 20;
public static int TIME_REQUEST = 50;
public static int TIME_PING = 100;
public static int TIME_OUT_COMMAND = 20;
public static int TIME_OUT_SHELL = 1;
public static int MAX_RETRY_ATTEMPTS = 10;
public static string KEY = string.Empty;
public static TimeSpan RETRY_DELAY = TimeSpan.FromSeconds(30.0);
public static string PRIMARY_END_POINT = "tcp://cabinet-yandex[.]info:7000/";
public static string SECONDARY_END_POINT = "tcp://games[.]cabinet-company[.]info:7000/";
}Тестовые образцы
В ходе исследования, были обнаружены образцы PhantomRAT и PhantomCore.Downloader, которые имели, либо локальные, либо тестовые C2-адреса. В случае, PhantomCore.Downloader, был использован C2-адрес hxxps://fexample[.]com. Использование данного адреса вместо filetransfer[.]io может говорить о том, что данный файл использовался для тестирования сборки.
Рис. 13 — Main-функция тестового образца PhantomCore.Downloader.
Данный файл был впервые загружен на VirusTotal 31 января 2024 года, из города Киев.
Рис. 14 — Информация о загрузке образца PhantomCore.Downloader (SHA1: 4d5c661e3ff1796930bcdc95b901083fa1db5358) на VirusTotal.
Нами также был обнаружен подобный образец PhantomCore.Downloader (SHA1: b8603bce890686f1ed9a1e0795e82e7ea6c43424), однако после запуска данный семпл завершает работу с ошибкой. Также, в отличие от остальных семплов, он не может быть проанализирован, инструментом ILSpy, что может говорить об ошибочной .NET сборке (single-file deployment). Данный семпл был впервые загружен на VirusTotal 31 января 2024 года с использованием того-же Source-ключа, что и при загрузке предыдущего семпла.
Рис. 15 — Информация о загрузке образца PhantomCore.Downloader (SHA1: b8603bce890686f1ed9a1e0795e82e7ea6c43424) на VirusTotal.
В случае с PhantomRAT, обнаруженный образец содержал C2-адреса, где вместо домена используется адрес локального хоста:
- tcp://localhost:7000/
Это может говорить о том, что данный образец не использовался для атак, а был собран для тестирования сборки PhantomRAT. Данный файл был впервые загружен на VirusTotal 26 февраля 2024 года, из города Киев.
Рис. 16 — Информация о загрузке образца PhantomRAT (SHA1: 59c4b5587cd1f18ba8aee66d73328667d824acfd) на VirusTotal.
Исходя из информации, что три тестовых образца уникального вредоносного ПО, которое используется группировкой PhantomCore, были загружены из Украины, мы со средним уровнем уверенности, можем заявить, что злоумышленники, осуществляющие данные атаки, могут находиться на территории Украины.
Выводы
Специалисты F6 обнаружили новую преступную группу, которая использует в атаках один из популярных векторов первоначального доступа — почтовые рассылки фишинговых писем. Интересным еще является тот факт, что уже исправленная (в новых версиях) уязвимость в программе WinRAR CVE-2023-38831 продолжает эксплуатироваться злоумышленниками при совершении своих атак. Хотя и в данном случае используется не описанная вариация данной уязвимости, в которой используются RAR-архивы вместо ZIP, данная уязвимость не является эксплуатируемой для WinRAR с версией 6.23 и выше.
Злоумышленники не останавливаются на использовании популярных троянов удаленного доступа, а продолжают вести разработку собственных вредоносов, которые используют в своих атаках.
Запросите демо F6 Threat Intelligence!
Эффективная защита бизнеса на основе уникальной информации о злоумышленниках
Рекомендации
Для предотвращения и защиты от потенциальных кибератак группы PhantomCore, специалисты F6 Threat Intelligence рекомендуют:
- Обновлять программное обеспечения, установленное на имеющиеся системы. В данном случае, при использовании WinRAR версий 6.23 и выше, при открытии PDF-документа, уязвимость не будет проэксплуатирована, и вместо запуска исполняемого файла, будет открыт легитимный PDF-документ.
- Отслеживать задачи, созданные в планировщике задач Windows.
- Использовать современные меры защиты электронной почты, чтобы предотвратить первоначальный взлом. Мы рекомендуем узнать, как F6 Business Email Protection может эффективно противостоять такого рода атакам.
- Регулярно обучать сотрудников, чтобы сделать их менее подверженными фишингу во всех его формах.
- Использовать современные средства выявления и устранения киберугроз. Мы рекомендуем узнать как решение F6 Managed XDR предоставляет исключительные возможности обнаружения угроз и реагирования на них за счет использования многочисленных источников телеметрии и передовых технологий машинного обучения.
- Использовать данные F6 Threat Intelligence для обнаружения и проактивного поиска угроз.
Индикаторы компрометации
Файлы
RAR-архивы
| Filename | Договор №771-86.rar |
| MD5 | b03256a6a7bc3df5ef7c19c7ff4108ed |
| SHA1 | 676e26cb3ce9a1cd2cf5f0f5184f802553d7a324 |
| SHA256 | 3f1271e3fd2d0032b496e5676dc361ceb54394807d37ddd5c1abba044dbbe9cd |
| Filename | Информация по договору.rar |
| MD5 | 3ff20f253602421de249d9712a64296b |
| SHA1 | 85beb37a0215ea4e99d7b30fb5590d6e10c0a805 |
| SHA256 | 7881082217ff9d5a737b071fa57bef7749076b60fdeb402f353b5f4875cb56b6 |
PDF-документ
| Filename | Договор №771-86.pdf
Пример формы для заполнения.pdf |
| MD5 | d351104bdfd06263baf8eaf404834da1 |
| SHA1 | 1e8b9fe5e4ebfd06342f037be7f99c0c5d22aba6 |
| SHA256 | 26c74d7b2fe32bc9b05ab823b84b84536b49ef9b78482054dc60fae8ae3b92ee |
PhantomCore.Downloader
| Filename | Договор №771-86.pdf .exe |
| MD5 | 94d246e82bfe0f3ec77d9c6a5fba9624 |
| SHA1 | fbcf21464ec9ffcef8bdd0022706d9fd8ccd975e |
| SHA256 | 7e862f1563bc3b7341557567745d23500682e78db1e920ecc09647286744a203 |
| Filename | template.exe |
| MD5 | e286f2124141bd8d795835281e0021b0 |
| SHA1 | edbb1735760db06a11039b42ddc68db7cda9cdc8 |
| SHA256 | 7ef0b7dc9ead8bbef4d3e14c63ef85acb9cbfd5cf9b22284e02f05103a009de5ф |
| Filename | Пример формы для заполнения.pdf .exe |
| MD5 | 92d5ddf10b6a589dae89aedf79451bcd |
| SHA1 | a0e42178635d41012709392afda965cbc9973fb6 |
| SHA256 | 139c9608aec0d4d80a10d15e39c7de38910197eda67f4b2033019d08862cf63d |
| Filename | template.exe |
| MD5 | b1caf2304b06d5e55657f72898c6136f |
| SHA1 | 4d5c661e3ff1796930bcdc95b901083fa1db5358 |
| SHA256 | 601112e8009955ec75fb13235d110c64fe4bdd8b42d9142e14dffc0e19656588 |
| Filename | template.exe |
| MD5 | 5499c3d26aed69638b820217d8dbe6e5 |
| SHA1 | b8603bce890686f1ed9a1e0795e82e7ea6c43424 |
| SHA256 | e5311166ae01605ae591533d128b501aec910bf53e77308504bbf9f33e036a63 |
PhantomRAT
| Filename | EventManager.exe |
| MD5 | 32a8930dc063456554d8101df5e3b34a |
| SHA1 | 1b0c9953b2aff3fcbd863555a8946a1923e002c1 |
| SHA256 | 0f1e2476494cfb1a77cecadafc287935c1e3b9d20b42f14bb91add4a3ef86efd |
| Filename | Test2.exe |
| MD5 | 25e491710ba6a484d131dbcfeebc9d04 |
| SHA1 | 59c4b5587cd1f18ba8aee66d73328667d824acfd |
| SHA256 | c31cbfac1e20fc4270ebc997b3f18223dae6e2bb97b6a7c65a3e2706b38df5eb |
| Filename | AppManager.exe |
| MD5 | e754a0662903469eaf0884438d035174 |
| SHA1 | d57924e70fec2032d0faac191df21b4c6396733d |
| SHA256 | d4d76f3d7a5597b3eb7feffe0daca838611fce7419a46484e99e3b4aef5516af |
| Filename | WinDidget.exe |
| MD5 | 7c762bf2b4ce0a799979feab588f4bc4 |
| SHA1 | 2f0a5ed5c845bb321f3163369640f3d36d7b2e2f |
| SHA256 | f4f34b52b7fb2f49800cd5c72b410fc8ab270604216fe2c2afec718d7e18561a |
URL-адреса
- hxxps://filetransfer[.]io/data-package/hmiQV0vH/download
- tcp[:]//wheelprom[.]ru:80/
- tcp[:]//ugroteches[.]ru:80/
- hxxps://filetransfer[.]io/data-package/x250yuoZ/download
- tcp[:]//cabinet-yandex[.]info:7000/
- tcp[:]//games.cabinet-company[.]info:7000/
- hxxps://filetransfer[.]io/data-package/sxb66DYM/download
PDB-пути PhantomRAT
- D:\github\phantom\phantom\obj\Release\net8.0\win-x64\EventManager.pdb
- D:\github\phantom\phantom\obj\Release\net8.0\win-x64\WinDidget.pdb
- D:\github\phantom\phantom\obj\Release\net8.0\win-x64\Test2.pdb
- D:\github\phantom\phantom\obj\Release\net8.0\win-x64\AppManager.pdb
Процессы
- cmd.exe schtasks -create -tn MicrosoftStatisticCore /XML %AppData%\Microsoft\Windows\link.xml
- cmd.exe schtasks -create -tn MicrosoftStatisticCore /XML %AppData%\Microsoft\Windows\Tsk.xml
Файловые пути
- %AppData%\Microsoft\Windows\link.xml
- %AppData%\Microsoft\Windows\Tsk.xml
- %AppData%\Microsoft\Windows\WinDidget.exe
- %AppData%\Microsoft\Windows\EventManager.exe
- %AppData%\Microsoft\Windows\AppManager.exe
Шаблон задачи планировщика задач Windows
| Name | MicrosoftStatisticCore |
| Path | \ |
| Author | Microsoft Corporation |
| Action | pcalua.exe -a %AppData%\Microsoft\Windows\* |
MITRE ATT&CK®
| ТАКТИКИ | ТЕХНИКИ | ПРОЦЕДУРЫ |
|---|---|---|
| Resource-development (TA0042) | Develop Capabilities: Malware (T1587.001) | PhantomCore используют уникальное вредоносное ПО PhantomRAT. |
| Initial Access (TA0001) | Phishing: Spearphishing Attachment (T1566.001) | PhantomCore используют электронные письма, которые содержат вложенный архив, защищенный паролем. |
| Execution (TA0002) | Command and Scripting Interpreter: Windows Command Shell (T1059.003) | PhantomCore используют PhantomCore.Downloader, который создает запланированную задачу в планировщике задач Windows, используя команду в интерпретаторе командной строки. |
| PhantomCore используют вредоносное ПО PhantomRAT, которое может использовать cmd.exe для выполнения команд на зараженной системе. | ||
| Exploitation for Client Execution (T1203) | PhantomCore используют вариацию уязвимости CVE-2023-38831, для запуска вредоносного файла в архиве, после того как пользователем будет запущен легитимный PDF-файл. | |
| User Execution: Malicious File (T1204.002) | Пользователю необходимо открыть RAR-архив, эксплуатирующий уязвимость CVE-2023-38831. После запуска пользователем легитимного PDF-файла, будет запущен вредоносный исполняемый файл. | |
| Scheduled Task/Job: Scheduled Task (T1053.005) | PhantomCore используют PhantomCore.Downloader, который создаст запланированную задачу, для закрепления следующей стадии в зараженной системе. | |
| Persistence (TA0003) | ||
| Privilege-escalation (TA0004) | ||
| Defense-evasion (TA0005) | Deobfuscate/Decode Files or Information (T1140) | PhantomCore используют вредоносное ПО PhantomRAT, которое расшифровывает полученные команды от сервера перед их выполнением. |
| Indirect Command Execution (T1202) | PhantomCore используют PhantomCore.Downloader, который создаст запланированную задачу. Цель данной задачи, запуск следующей стадии через инструмент системы — pcalua.exe (Program Compatibility Assistant). | |
| Masquerading: Double File Extension (T1036.007) | PhantomCore используют двойные файловые расширения. В случае PhantomCore, двойные расширения необходимы для эксплуатации уязвимости CVE-2023-38831. | |
| Masquerading: Masquerade Task or Service (T1036.004) | PhantomeCore используют PhantomCore.Downloader, который создает запланированную задачу с именем MicrosoftStatisticCore. | |
| Obfuscated Files or Information (T1027) | PhantomCore используют метод распространения приложений в виде .NET-приложения, с опцией развертывания одним файлом (single-file deployment). Вредоносный модуль хранится в теле файла в сериализованном виде. | |
| Discovery (TA0007) | System Information Discovery (T1082) | PhantomCore используют вредоносное ПО PhantomRAT, которое собирает данные о системе, такие как: версия ОС, внешний и внутренний IP-адреса, имя хоста и имя пользователя. |
| Collection (TA0009) | Data from Local System (T1005) | PhantomCore используют вредоносное ПО PhantomRAT, которое собирает данные о системе, такие как: версия ОС, внешний и внутренний IP-адреса, имя хоста и имя пользователя. |
| Command and Control (TA0011) | Application Layer Protocol (T1071) | PhantomCore используют вредоносное ПО PhantomRAT, которое использует протокол прикладного уровня RSocket, для коммуникации с C2-сервером. |
| Application Layer Protocol: Web Protocols (T1071.001) | PhantomCore используют PhantomCore.Downloader, который загружает следующую стадию с filetransfer[.]io используя HTTP-протокол. | |
| Encrypted Channel: Symmetric Cryptography (T1573.001) | PhantomCore используют вредоносное ПО PhantomRAT, которое использует алгоритм шифрования AES для передачи данных при коммуникации с C2-сервером. | |
| Ingress Tool Transfer (T1105) | PhantomCore используют вредоносное ПО PhantomRAT, которое имеет возможность загрузки файлов на зараженную систему. | |
| PhantomCore используют PhantomCore.Downloader, для загрузки PhantomRAT на зараженную систему. | ||
| Non-Standard Port (T1571) | В некоторых случаях конфигурация PhantomRAT содержала C2-адреса с указанным портом — 7000. | |
| Exfiltration (TA0010) | Exfiltration Over C2 Channel (T1041) | PhantomCore используют вредоносное ПО PhantomRAT, которое может выполнять эксфильтрацию файлов на C2-сервер. |
