Эксперты компании предотвратили наступление недопустимых событий на объектах критически значимой инфраструктуры России
С мая по июль специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили в российских организациях более 180 зараженных систем. Вредоносная активность исходила от киберпреступной группы PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру. Эксперты PT ESC TI идентифицировали жертв и уведомили их о киберугрозах до наступления недопустимых событий.
В числе скомпрометированных организаций оказались госучреждения, научно-исследовательские институты, предприятия оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компании. Первое заражение датируется 12 мая, наибольшей интенсивности кибератаки достигли в июне, при этом 56% всех заражений пришлось на 30 июня. В среднем группировка находилась в скомпрометированной сети 24 дня, максимально — 78 дней. Как минимум 49 хостов до сих пор остаются под контролем злоумышленников.
По данным Positive Technologies, APT-группировка PhantomCore активна с начала 2024 года и нацелена на получение доступа к конфиденциальной информации. Кибератаки отличаются значительным масштабом и избирательностью: в числе жертв российские организации из ключевых отраслей экономики и сферы государственного управления. PhantomCore располагает внушительным наступательным арсеналом: от популярных опенсорсных утилит и обновленных версий известных инструментов до ранее не встречавшихся образцов собственной разработки. Такое разнообразие ВПО во многом помогает хакерам долгое время оставаться незамеченными в зараженных сетях. Также вредоносная инфраструктура группировки строго сегментирована по функциям и классам инструментов, которыми она управляет.
География вредоносной инфраструктуры PhantomCore характеризуется тем, что почти половина серверов (48%) расположены в России, преимущественно в сетях трех российских провайдеров. Доля зарубежной инфраструктуры составляет 52% и практически равномерно распределена между Финляндией, Францией, Нидерландами, США, Германией, Гонконгом, Молдавией и Польшей. При этом 33% всей инфраструктуры сосредоточены в сетях канадского провайдера.
