PhantomRShell: бэкдор PhantomCore научился исчезать с диска — файлы скрыты от анализа через встроенный дизассемблер

Группировка PhantomCore (отслеживаемая также как Head Mare) развернула новый бэкдор PhantomRShell, отличающийся необычной техникой маскировки. Вредонос использует встроенный дизассемблер для перехвата системных вызовов, что позволяет файлу физически присутствовать на диске, но оставаться невидимым для пользователя и защитных инструментов. Фактически, атакуемые системы содержат угрозу, которую стандартные средства анализа не способны обнаружить штатными методами.

PhantomCore специализируется на атаках против компаний из России и Беларуси. Расследование, проведённое вирусными аналитиками отдела реагирования Бастиона, выявило ключевую особенность PhantomRShell: вместо привычных методов обфускации или шифрования вредонос полагается на низкоуровневую манипуляцию системными вызовами. Такой подход существенно затрудняет обнаружение и анализ, поскольку привычные эвристики и сигнатурный анализ не фиксируют аномалию. По данным исследования, за кажущейся сложностью PhantomRShell скрывается знакомый набор функций: загрузчик, механизм закрепления в системе и канал связи с командным сервером.

Специалисты отмечают, что подобные техники усложняют реагирование на инциденты и ставят под давление службы информационной безопасности в атакуемых отраслях. Использование встроенного дизассемблера вместо типовой обфускации свидетельствует о стремлении группы к повышению скрытности операций. Компаниям из целевого региона рекомендуется усилить мониторинг аномалий на уровне ядра и пересмотреть подходы к обнаружению файлов, невидимых для пользовательских процессов, но присутствующих на носителе. Подробный технический разбор PhantomRShell доступен в телеграм-канале @section_remadev.