Хактивисты Head Mare атакует российские организации с помощью нового бэкдора PhantomHeart
Хактивистская группировка Head Mare развернула новую волну целевых атак против российских государственных структур, строительных и промышленных предприятий. В ходе кампании злоумышленники применяют ранее не встречавшийся бэкдор PhantomHeart, как сообщили аналитики «Лаборатории Касперского».
Изначально вредонос распространялся в виде DLL-библиотеки, однако позднее был переработан в PowerShell-скрипт. В компании отмечают, что это изменение отражает стремление Head Mare активнее использовать подход Living-off-the-Land (LOTL), при котором вредоносная активность маскируется под работу штатных инструментов Windows.
Первоначальное проникновение в сеть жертвы осуществляется через эксплуатацию уязвимости BDU:2025-10114 в программном обеспечении TrueConf Server. В отдельных случаях группировка по-прежнему прибегает к фишинговым рассылкам.
Основная функция бэкдора PhantomHeart заключается в развертывании SSH-туннеля по команде управляющего сервера, что обеспечивает операторам устойчивый удаленный доступ к скомпрометированной системе. Как уточняется в сообщении компании, вредонос собирает базовые данные об атакуемом устройстве: имя компьютера, домен, внешний IP-адрес и уникальный идентификатор. В одной из атак злоумышленники закрепились в системе, запуская бэкдор через планировщик заданий, замаскировав его под легитимный скрипт обновления в директории средства удаленного администрирования LiteManager.
Помимо этого, эксперты обнаружили расширение вспомогательного инструментария Head Mare на этапе постэксплуатации. Группировка использует новые утилиты и скрипты для автоматизации задач по закреплению в системе, управлению привилегиями и организации сетевого доступа.
Читайте также
