详细内容或原文请订阅后点击阅览
PhantomCore 已激活:新型 PhantomDL 加载程序瞄准军工综合体
两个月来,PhantomCore 组织一直在利用虚假文件恐吓公司。
来源:安全实验室新闻频道两个月来,PhantomCore 组织一直在利用虚假文件恐吓公司。
F.A.C.C.T 威胁情报分析师自 2024 年 3 月以来一直在记录新的 PhantomDL 加载程序的活动,该加载程序与 PhantomCore 网络间谍组织有关,该组织自年初以来以针对军工综合体组织的攻击而闻名。
修复PhantomDL 用于使用包含恶意文件加密档案的网络钓鱼电子邮件来分发恶意软件。在一个案例中,一份诱饵文件被伪装成建筑工地的移交和验收证书。
诱饵文档的内容
诱饵文档的内容在旧版本的 WinRAR 中打开 PDF 文件时,可执行文件可能会被激活。该攻击基于漏洞CVE-2023-38831。 如果使用 WinRAR 版本 6.23 及更高版本,则仅打开合法的 PDF 文档。
CVE-2023-38831。PhantomDL 还可以检测从何处访问互联网。如果访问不是来自俄罗斯 IP 地址,则连接将终止。如果连接成功,下载器可能会收到进一步下载恶意软件或关闭的命令。
在过去的一个月里,专家们发现了一个不使用混淆技术的 PhantomDL 新样本,这使得分析变得更加容易,并使其能够确认其与已知的 PhantomCore 活动的联系。根据 F.A.C.C.T 研究,使用 PhantomDL 是 PhantomCore 绕过安全机制并对俄罗斯军工联合体进行网络间谍活动的战略的一部分。