Кибергруппировка PhantomCore провела масштабную кампанию против российских госучреждений, оборонных предприятий и промышленных компаний. Эксперты Positive Technologies обнаружили более 180 зараженных систем, 49 из которых все еще контролируются хакерами.
С мая по июль 2024 года эксперты Positive Technologies обнаружили более 180 зараженных систем в российских организациях. Атаки проводила APT-группировка PhantomCore, целенаправленно атакуя критически важные объекты: госучреждения, оборонные предприятия, научные институты, ИТ-компании, а также предприятия судостроения, химической, горнодобывающей и обрабатывающей промышленности.
Первые атаки начались 12 мая, пик активности пришелся на июнь, причем 56% всех заражений произошло 30 июня. В среднем злоумышленники оставались в сетях жертв 24 дня, а в некоторых случаях — до 78 дней. На данный момент под их контролем остаются как минимум 49 хостов.
PhantomCore действует с начала 2024 года, ее главная цель — кража конфиденциальных данных. Группировка использует мощный арсенал: от открытых утилит и модифицированных версий известных вредоносных программ до собственных уникальных разработок. Это позволяет хакерам долго оставаться незамеченными. Их инфраструктура четко сегментирована: 48% серверов расположены в России, а остальные 52% распределены между Финляндией, Францией, Нидерландами, США, Германией, Гонконгом, Молдавией и Польшей. При этом треть всей инфраструктуры размещена у канадского провайдера.
Специалисты Positive Technologies считают, что угроза со стороны группировки PhantomCore для российских компаний и госструктур остается крайне высокой.