Detale dotyczące kampanii phishingowej atakującej sektory w Rosji

Badacze zajmujący się bezpieczeństwem cybernetycznym ujawnili szczegóły dotyczące aktywnej kampanii phishingowej, która celuje w różnorodne sektory w Rosji. Atak ten wykorzystuje wiadomości e-mail z oszustwami, dostarczając złośliwe oprogramowanie Phantom Stealer za pośrednictwem obrazu ISO złośliwych dysków optycznych.

Akcja, nazwana Operation MoneyMount-ISO przez Seqrite Labs, koncentruje się głównie na jednostkach finansowych i księgowych, a drugorzędnie na działach zajmujących się zaopatrzeniem, prawem i listami płac.

„Ta kampania wykorzystuje fałszywe potwierdzenie płatności jako wabik do dostarczania złośliwego oprogramowania Phantom poprzez wieloetapowy łańcuch załączników” – informuje firma zajmująca się cyberbezpieczeństwem.

Łańcuch infekcji rozpoczyna się od wiadomości phishingowej, która udaje legalną komunikację finansową, namawiając odbiorców do potwierdzenia niedawnego przelewu bankowego. Do e-maila dołączony jest archiwum ZIP, które rzekomo zawiera dodatkowe informacje, a w rzeczywistości skrywa plik ISO, który po uruchomieniu montowany jest w systemie jako wirtualny napęd CD.

Obraz ISO („Подтверждение банковского перевода.iso” lub „Bank transfer confirmation.iso”) działa jako plik wykonywalny, który uruchamia Phantom Stealer za pomocą osadzonej biblioteki DLL („CreativeAI.dll”).

Phantom Stealer potrafi wydobywać dane z rozszerzeń przeglądarki portfeli kryptowalutowych zainstalowanych w przeglądarkach opartych na Chromium oraz aplikacjach portfela desktopowego. Oprócz tego przechwytuje pliki, tokeny autoryzacyjne Discorda oraz hasła, ciasteczka i dane kart kredytowych powiązane z przeglądarką.

Monitoruje również zawartość schowka, rejestruje naciśnięcia klawiszy i przeprowadza szereg kontroli w celu wykrycia środowisk wirtualnych lub analizujących, a w przypadku ich znalezienia, przerywa wykonanie. Ekfiltracja danych odbywa się za pośrednictwem bota Telegram lub webhooka Discord kontrolowanego przez atakującego. Dodatkowo, to złośliwe oprogramowanie umożliwia transfer plików do serwera FTP.

W ostatnich miesiącach, rosyjskie organizacje, głównie działy kadr i płac, były celem e-maili phishingowych, które stosowały wabiki związane z bonusami lub wewnętrznymi politykami finansowymi, aby wdrożyć wcześniej nieudokumentowany implant o nazwie DUPERUNNER, który uruchamia AdaptixC2, otwartoźródłowy framework dowodzenia i kontroli (C2).

Kampania znana jako DupeHike została przypisana do klastra zagrożeń o nazwie UNG0902. „ZIP był używany jako wstępne źródło infekcji opartej na spear-phishingu, które zawierało wabiki w formacie PDF i LNK, co prowadzi do pobrania implantu DUPERUNNER, który na końcu uruchamia Adaptix C2 Beacon” – podało Seqrite.

Plik LNK („Документ_1_О_размере_годовой_премии.pdf.lnk” lub „Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”) pobiera z zewnętrznego serwera DUPERUNNER za pomocą „powershell.exe”. Główna odpowiedzialność implantu polega na pobraniu i wyświetleniu atrapowego pliku PDF oraz uruchomieniu AdaptixC2 przez wstrzyknięcie go do legalnego procesu Windows, takiego jak „explorer.exe”, „notepad.exe” i „msedge.exe”.

Inne kampanie phishingowe skierowane były do sektorów finansowych, prawnych i lotniczych w Rosji, aby rozprzestrzenić Cobalt Strike i złośliwe narzędzia takie jak Formbook, DarkWatchMan oraz PhantomRemote, które są zdolne do kradzieży danych oraz kontroli za pomocą klawiatury. Serwery e-mailowe skompromitowanych rosyjskich firm wykorzystywane są do wysyłania wiadomości spear-phishingowych.

Francuska firma zajmująca się cyberbezpieczeństwem Intrinsec przypisuje zestaw infiltracji celujący w rosyjskie przemysł lotniczy do hakerów związanych z interesami ukraińskimi. Działania te, wykryte między czerwcem a wrześniem 2025 roku, mają pewne podobieństwa do Hive0117, Operacji CargoTalon oraz Rainbow Hyena (znanego także jako Fairy Trickster, Head Mare oraz PhantomCore).

Niektóre z tych działań wykryto również, gdy przekierowywały użytkowników na strony phishingowe hostowane w InterPlanetary File System (IPFS) oraz Vercel, zaprojektowane w celu kradzieży poświadczeń związanych z Microsoft Outlook oraz Bureau 1440, rosyjską firmą zajmującą się lotnictwem.

„Kampanie obserwowane między czerwcem a wrześniem 2025 […] miały na celu kompromitację podmiotów aktywnie współpracujących z armią Rosji w kontekście trwającego konfliktu z Ukrainą, co w dużej mierze oceniają na podstawie nałożonych zachodnich sankcji” – twierdzi Intrinsec.