Атаки PhantomCore начинаются с рассылки поддельных писем на адреса атакуемой компании. Вложенный в письмо RAR-архив под паролем содержит PDF-документ и одноименную папку с вредоносным исполняемым файлом, который запускается при открытии PDF, заявили эксперты F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями.
По данным аналитиков, новая группировка объявилась в рунете только в январе этого года. Они преимущественно используют троян PhantomRAT, который уникален и ранее не был замечен.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что расчет рисков и обучение сотрудников грамотности в вопросах информационной безопасности – важные аспекты защиты. «Если обучение сотрудников полностью лежит на работодателе, то расчет рисков и анализ безопасности IT-инфраструктуры – это то, что можно обеспечить с помощью сертифицированных средств защиты. Такие средства необходимы для обеспечения комплексной защиты инфраструктуры и раннего обнаружения следов злоумышленников в системе», – говорит Юлия Парфенова.