PhantomCore: A Arte da Camuflagem Cibernética com Ferramentas Legítimas

Desde o outono de 2025, especialistas do departamento de resposta a ameaças cibernéticas da Positive Technologies têm observado um aumento nos incidentes relacionados às atividades do grupo de hackers PhantomCore. Este grupo se especializa em ciberespionagem e roubo de dados confidenciais de organizações russas. Os criminosos, focados principalmente nos processos internos da organização comprometida, podem permanecer na infraestrutura da vítima por um longo período, expandindo gradualmente sua presença na rede. Em alguns casos, os invasores realizaram criptografia tanto de máquinas virtuais quanto de servidores físicos, além de estações de trabalho de usuários comuns. Às vezes, o intervalo de tempo entre a compromissão da infraestrutura e a criptografia dos dados é de apenas algumas horas. Nessas situações, pode-se supor que o PhantomCore perde o interesse nos dados dentro da organização e, como resultado, tenta causar danos econômicos. O LockBit, cujo builder se tornou público em 2022, é utilizado como ferramenta para ações destrutivas.

Uma análise detalhada do software utilizado e da infraestrutura de rede foi publicada no relatório do departamento de TI do centro de expertise da Positive Technologies. Como resultado da investigação, foi identificada uma campanha em larga escala de ciberespionagem e uma possível cisão do grupo APT PhantomCore. No período em questão, o grupo atacou ativamente organizações que utilizam o servidor de videoconferência TrueConf e, além disso, continua a usar phishing para obter acesso inicial. O arsenal do PhantomCore inclui ferramentas públicas modificadas para tunelamento de tráfego (Rsocx, tsocks, wstunnel, microsocks, localtonet) e desenvolvimentos próprios (PhantomSscp, MactunnelRat, PhantomProxyLite). Todas as utilidades listadas são destinadas à movimentação dentro do perímetro (pivoting) e à criação de um ponto de apoio que permite explorar detalhadamente a infraestrutura interna dos sistemas comprometidos.

Para obter acesso inicial, os invasores frequentemente utilizam uma cadeia de vulnerabilidades no serviço de videoconferência TrueConf (BDU: 2025-10114, BDU: 2025-10115, BDU: 2025-10116), identificada por um especialista da PT SWARM. Ao explorar essas vulnerabilidades, os atacantes obtêm a capacidade de executar comandos remotamente no servidor. Embora não existam exploits publicamente disponíveis para essa cadeia de vulnerabilidades, os invasores do PhantomCore conseguiram realizar sua própria pesquisa e reproduzir as vulnerabilidades, o que levou a um grande número de casos de sua exploração em organizações russas. Informações sobre essa vulnerabilidade surgiram em agosto de 2025, e os primeiros ataques visando o TrueConf foram realizados já em meados de setembro de 2025. Em caso de exploração bem-sucedida dessas vulnerabilidades, o atacante obtém a capacidade de executar um comando arbitrário do interpretador cmd.exe (Windows) ou Bash (Linux) no contexto do processo tc_webmgr (C:\Program Files\TrueConf Server\httpconf\bin\tc_webmgr.exe para Windows). A exploração bem-sucedida das vulnerabilidades no TrueConf permitiu aos invasores usar o servidor como um trampolim para ataques a recursos internos da organização. As ações realizadas incluíram reconhecimento (coleta de informações sobre o SO e usuários), persistência (upload de web shells, criação de usuários), evasão de defesa (desativação do Defender), roubo de credenciais (dump do lsass) e organização de canais de comunicação (túneis SSH, utilitários de tunelamento).

Além da exploração de vulnerabilidades no TrueConf, o PhantomCore continua a usar o phishing como vetor de acesso inicial. Em particular, em janeiro-fevereiro, foram observados envios de phishing a partir de servidores de e-mail de organizações russas comprometidas. Como anexo, foram encontrados vários arquivos compactados com a senha "2026", por exemplo: "Комплект документов.rar", "ТЗ на согласование сб 54 от 19.01.26.zip". Cada um dos arquivos continha um arquivo LNK malicioso com extensão dupla, disfarçado como DOC ou PDF. O arquivo LNK contém um comando que baixa um script PowerShell de um servidor de controle e o executa. O script PowerShell baixado pelo arquivo LNK é ofuscado e apresenta a estrutura de uma página HTML, onde o bloco script contém a carga útil principal. Este script baixa um documento isca para o diretório temporário do usuário e o abre para desviar a atenção, a fim de instalar a carga útil principal no sistema. Em seguida, uma tarefa agendada é criada, que tentará baixar a próxima etapa da carga útil em um período de 24 horas com um intervalo de 61 segundos. O script implementa o seguinte algoritmo: obtém o UUID do sistema, envia-o para o servidor de controle via requisição GET, em seguida analisa a resposta, extrai o comando PowerShell e o identificador do comando. Após a execução do comando no sistema, envia o resultado do trabalho via requisição POST para o servidor, que inclui: UUID (identificador do host comprometido no C2), nome do host, domínio, identificador do comando e o resultado de sua execução. Assim, os invasores deixaram para si um shell reverso com a capacidade de executar comandos remotos no host, com a possibilidade de trocar a carga útil.

Para realizar reconhecimento no domínio, os invasores utilizaram o ADRecon. No log UsnJrnl, também foram encontrados vestígios da criação e exclusão de um arquivo de relatório do ADRecon e do diretório correspondente. Durante a campanha em análise, o PhantomCore aplicou técnicas padrão para roubo de NTDS.dit e dump remoto do lsass.exe usando Impacket. O comando de dump remoto do LSASS procura o processo lsass.exe, extrai seu PID e o passa para o rundll32 para chamar a função MiniDump do comsvcs.dll, a fim de criar um dump de memória do processo LSASS e salvá-lo em um arquivo com a extensão .cur na pasta C:\Windows\Temp. Para comprometer as credenciais do sistema de backup Veeam Backup & Replication, os invasores utilizaram um script que extrai senhas do banco de dados do aplicativo. A chave de descriptografia ("salt"), necessária para decodificar as senhas, era extraída de uma chave do registro do Windows, onde o Veeam armazena parâmetros confidenciais. Este método permitiu aos invasores obter não apenas senhas locais, mas também credenciais de usuários do domínio usadas para backup. Para isso, eles usaram uma versão modificada do script PowerShell Veeam-Get-Creds. Também foi descoberto um método bastante incomum para obter credenciais da memória RAM do computador. Para isso, foi utilizada uma combinação de ferramentas: DumpIT e MemProcFS, operando em conjunto com a biblioteca Dokan. Após obter previamente um dump da memória RAM usando a utilidade DumpIT, os atacantes usaram a utilidade MemProcFS, que permite montar o dump da memória RAM criado como um sistema de arquivos. O dump de memória resultante é montado usando MemProcFS (por padrão, unidade M:). Em seguida, os invasores navegavam até o diretório M:\name\lsass.exe-<PID do processo>\minidump do sistema de arquivos virtual, tentando obter o conteúdo do processo lsass.exe. Essa abordagem contradiz a documentação oficial do MemProcFS, que indica explicitamente que mini-dumps não são criados para os processos System, Registry, LSASS e MemCompression. No entanto, durante o ataque, uma tentativa de usar esse mecanismo foi registrada. Verificou-se que em versões anteriores a 2024 existia a possibilidade de obter um mini-dump do LSASS, o que explica a discrepância observada: os invasores provavelmente usaram uma versão desatualizada da utilidade onde o mecanismo ainda funcionava. Em um dos nós, também foram encontrados eventos de acesso de rede a pastas contendo as chaves mestras DPAPI para vários usuários. Ao obter a chave mestra DPAPI, os invasores puderam obter as credenciais dos usuários correspondentes.

Após a realização de reconhecimento de rede e a compromissão de credenciais, os invasores começaram a se mover pela infraestrutura, utilizando os protocolos WinRM (Windows Remote Management) e RDP (Remote Desktop Protocol). Durante a análise de um dos nós, foram descobertos vestígios do uso da ferramenta Evil-WinRM, um framework especializado para trabalhar com WinRM, que oferece aos invasores funcionalidades avançadas de gerenciamento remoto. A detecção dessa atividade foi auxiliada por um evento com o ID 4103 no log do PowerShell, que registra a execução do comando Invoke-Expression. Uma característica distintiva é o contexto de execução: o processo wsmprovhost.exe (um componente legítimo do WinRM) atuou como host para a execução de comandos maliciosos do PowerShell. A chave de registro HKLM: \Software\Microsoft\Windows\CurrentVersion\WSMAN\SafeClientList\WSManSafeClientList contém um cache do cliente WinRM com o histórico (até 10) dos últimos endereços IP (IPv4/IPv6) que se conectaram ao sistema. Novos endereços são adicionados ao final da lista pelo princípio FIFO, onde a última entrada corresponde à conexão mais recente. Este artefato é útil para análise retrospectiva de conexões, mas não contém informações maliciosas.

Como medidas de segurança adicionais, recomendamos: baixar distribuições de fontes oficiais verificadas, verificar a presença de uma assinatura digital válida nas distribuições de clientes, e comparar os checksums no site do desenvolvedor.