PhantomCore месяцами удерживала доступ к сетям российских компаний

В период с мая по июль текущего года специалисты компании Positive Technologies зарегистрировали свыше 180 случаев инфицирования компьютерных систем, принадлежащих российским организациям. Ответственность за эти кибератаки лежит на группировке PhantomCore, чьей целью является исключительно критическая инфраструктура России. Эксперты идентифицировали пострадавшие организации и заблаговременно оповестили их о надвигающихся киберугрозах, что позволило предотвратить серьезные последствия. В числе жертв оказались государственные учреждения, научно-исследовательские институты, предприятия оборонного комплекса, судостроительной, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компании.

Первые случаи заражения были зафиксированы 12 мая, а пик активности пришелся на конец июня, когда 30 июня было зарегистрировано 56% от общего числа инцидентов. В среднем, присутствие PhantomCore в скомпрометированной сети составляло около месяца, а в отдельных случаях достигало 78 дней. По состоянию на июль, злоумышленники продолжали контролировать не менее 49 зараженных хостов.

Согласно данным исследователей, группировка PhantomCore начала свою деятельность в начале 2024 года и специализируется на хищении конфиденциальной информации. Арсенал группы включает в себя широкий спектр инструментов: от широко используемых утилит с открытым исходным кодом до уникальных, разработанных ими самими. Такое разнообразие позволяет им оставаться незамеченными на протяжении длительного времени. Инфраструктура группировки характеризуется сегментированностью: различные серверы отвечают за разные типы атак и задачи. Примечательно, что почти половина серверов PhantomCore (48%) расположена на территории России, преимущественно в сетях трех крупных провайдеров. Остальные 52% находятся за рубежом, в таких странах, как Финляндия, Франция, Нидерланды, США, Германия, Гонконг, Молдавия и Польша. При этом треть всей инфраструктуры функционирует через канадского провайдера.