Как сообщает SentinelOne, гуманитарные организации, участвующие в оказании помощи пострадавшим от войны в Украине, и местные администрации подверглись однодневной фишинговой атаке, получившей название PhantomCaptcha. Она включала в себя троян удалённого доступа WebSocket (RAT), который позволяет выполнять произвольные команды, кражу данных и потенциальное развёртывание вредоноса.
Согласно отчёту, мишенью были отдельные члены Международного Красного Креста, Норвежского совета по делам беженцев, ЮНИСЕФ, Реестр ущерба Совета Европы для Украины и администрации в некоторых украинских областях. Хакеры использовали электронные письма от имени Администрации президента Украины с вредоносными PDF-файлами, заманивая жертв к запуску команды PowerShell и заражённого ПО через поддельную страницу Cloudflare CAPTCHA в стиле ClickFix в обход стандартных проверок безопасности.
После получения информации от украинской Лаборатории цифровой безопасности специалисты SentinelLabs изучили кампанию и обнаружили сложную многоэтапную фишинговую операцию, подготовка которой заняла шесть месяцев. Первоначальной приманкой для доступа был восьмистраничный PDF-документ, выдаваемый за официальное правительственное коммюнике.
По данным VirusTotal, вредоносный файл был загружен из нескольких мест, включая Украину, Индию, Италию и Словакию, что свидетельствует о широком охвате акции. Нажав на встроенную ссылку, жертвы попадали на домен, маскирующийся под легитимный сайт Zoom. Он вёл на поддельный шлюз защиты от DDoS-атак Cloudflare, предлагающий им поставить галочку в поле «Я не робот» в reCAPTCHA.
Аналитики SentinelLabs пришли к выводу, что кампания PhantomCaptcha отражает «высокоэффективный характер действий противника, демонстрирующий обширное оперативное планирование, разветвлённую инфраструктуру и преднамеренный контроль воздействия». Шестимесячный период между началом и окончанием атаки с быстрым закрытием доменов, с сохранением внутреннего командования и контроля подчёркивает, что «оператор хорошо разбирается как в наступательных тактиках, так и в оборонительных методах обхода обнаружения».
Вендор рекомендовал пользователям с осторожностью относиться к инструкциям, требующим вставки команд в диалоговые окна «Выполнить» Windows, наблюдать за активностью PowerShell, применять ограничения политики выполнения и отслеживать подозрительные соединения WebSocket, особенно те, которые связаны с недавно зарегистрированными или чужими доменами.
Усам Оздемиров
