Исследователи Positive Technologies нашли взаимосвязи проукраинской APT PhantomCore со шпионской кампанией, в ходе которой на страницы входа в серверы Exchange были установлены кейлоггеры.

В июньском исследовании было упомянуто несколько кейлоггеров с отправкой собранных данных на сервер злоумышленников.

Среди них был один, который отправлял данные на browser.anaiytics.org через заголовки запросов.

Чуть позднее, примерно через неделю, был обнаружен идентичный кейлоггер, отличающийся от первого только внешним сервером.

Оба сервера скрыты за сервисом Cloudflare, поэтому настоящий IP-адрес получить не так просто.

Однако для одного из серверов это сделать получилось.

Удалось установить несколько IP-адресов, которые потенциально относятся к доменам: 45.87.245.19 (неактивен в системах с марта) и 91.239.148.213 (активен на данный момент).

На обоих серверах с указанными IP-адресами было развернуто Django-приложение с использованием Uvicorn в качестве ASGI-сервера. При обращении на 80 порт они возвращали идентичный ответ.

Изучая особенности сетевой инфраструктуры в части WHOIS-информации о домене browser.anaiytics.org, Позитивы установили другие домены: voen-pravoru.online, bi-zone.com и voen-pravo.online, с которым была связана на скачивание архива CalculatorVyplatSetup_1.0.6.zip.

Ссылка фигурировала на фишинговой странице домена дискусс.рф, которая была скопирована с официального сайта «Правового уголка офицера» (voen-pravo.ru).

Сам архив защищен паролем 123213 и содержит единственный бинарный установщик.

Приложение написано с использованием фреймворка Qt, собрано в декабре 2024 года и имеет пользовательский интерфейс, мимикрирующий под калькулятор выплат.

Самое интересное устанавливается на заднем плане - сервис UpdateService, запускаемый в автоматическом режиме.

Исходя из даты создания файла и логики работы загрузчика исследователи пришли к выводу, что это PhantomDL v.3.

Таким образом, удалось подтвердить, что это вредоносное ПО с высокой вероятностью относится к группировке PhantomCore.

Значит, и WHOIS-информация, найденная на доменах ранее, также принадлежит ей, как и Exchange-кейлоггеры с отправкой данных в HTTP-заголовках.

По итогу было выявлено 10 жертв, на серверах которых находится ранее рассмотренный Exchange-кейлоггер.

Все жертвы - компании на территории России, занимающиеся IT-консалтингом и разработкой IT-решений. Количество учетных записей, собранных с систем жертв, превысило 5000.

Как сообщают Позитивы, это лишь небольшая часть большого исследования в отношении группировки PhantomCore.

Дополнительные подробности обещают выкатить уже совсем скоро. Будем следить.