آزمایشگاههای تحقیقاتی و اطلاعاتی Cyble، کمپینی مرتبط با گروه بدنام Head Mare شناسایی کرده است که روسها را هدف قرار میدهند.
این کمپین شامل آرشیو ZIP و فایل LNK مخرب و یک فایل اجرایی است. فایل اجرایی به صورت هوشمندانهای به عنوان فایل آرشیو برای فریب کاربران و تسهیل عملیات مخرب آن پنهان شده است. فایل LNK نیز حاوی دستوراتی جهت استخراج و اجرای پنهانی طراحی شده است که تحت عنوان PhantomCore شناخته میشود. عوامل تهدید (TA) همچنین کتابخانه Boost.Beast را در PhantomCore ادغام کرند تا ارتباط با سرور فرمان و کنترل (C2) را فعال کنند.
PhantomCore اطلاعات قربانی از جمله آدرس IP عمومی را جمعآوری میکند تا قبل از استقرار پیلود نهایی مرحله آخر یا اجرای دستورات اضافی در سیستم آسیبپذیر، اطلاعات دقیقی از هدف به دست آورد. افزون بر این به استقرار پیلودهای باجافزاری مانند LockBit و Babuk و وارد کردن آسیب قابل توجهی به سیستم قربانی معروف است.
https://cyble.com/blog/head-mare-deploys-phantomcore-against-russia/
