據(jù)總部位于莫斯科的網(wǎng)絡(luò)安全公司F.A.C.C.T.稱，他們發(fā)現(xiàn)了一個與烏克蘭有關(guān)聯(lián)的新黑客組織，該組織至少從今年1月以來就開始運作。

F.A.C.C.T.將該組織命名為 PhantomCore，并將一種以前未具名的遠(yuǎn)程訪問惡意軟件標(biāo)記為 PhantomRAT。他們聲稱黑客利用了Windows文件存檔工具WinRAR中的一個已知漏洞，該漏洞被鑒定為 CVE-2023-38831。

F.A.C.C.T 表示，PhantomCore 使用的策略與之前利用該漏洞的攻擊不同，黑客是通過利用特制的 RAR 存檔執(zhí)行惡意代碼，而非之前觀察到的 ZIP 文件。

為了將 PhantomRAT 傳送到受害者的系統(tǒng)中，黑客使用了網(wǎng)絡(luò)釣魚電子郵件，其中包含偽裝成合同的 PDF 文件，其中的可執(zhí)行文件只有在受害者使用低于 6.23 版本的 WinRAR 打開 PDF 文件時才會啟動。在攻擊的最后階段，感染了PhantomRAT的系統(tǒng)能夠從命令和控制（C2）服務(wù)器下載文件，并將文件從受感染的主機(jī)上傳到黑客控制的服務(wù)器。

此外，在攻擊活動期間，黑客可以獲得包括主機(jī)名、用戶名、本地 IP 地址和操作系統(tǒng)版本在內(nèi)的信息，以幫助黑客進(jìn)行進(jìn)一步的攻擊。

在分析過程中還發(fā)現(xiàn)了三個PhantomRAT的測試樣本，根據(jù)F.A.C.C.T.的說法，這些樣本是從烏克蘭上傳的。“我們可以有一定程度的信心說，進(jìn)行這些襲擊的攻擊者可能位于烏克蘭境內(nèi)，“研究人員說。

Check Point在調(diào)查了該報告和有問題的漏洞后，指出存檔中的特定樣本僅針對 64 位系統(tǒng)，在其他攻擊中，有效載荷可能會有所不同，如果攻擊者需要，也可能會同時影響 32 位和 64 位系統(tǒng)。

微軟威脅情報戰(zhàn)略主管 Sherrod DeGrippo 表示，該公司以前沒有觀察到 F.A.C.C.T. 認(rèn)為屬于該組織的具體活動，但該漏洞已被網(wǎng)絡(luò)犯罪分子和國家支持的APT組織廣泛利用。