據總部位于莫斯科的網絡安全公司F.A.C.C.T.稱，他們發(fā)現了一個與烏克蘭有關聯的新黑客組織，該組織至少從今年1月以來就開始運作。

F.A.C.C.T.將該組織命名為 PhantomCore，并將一種以前未具名的遠程訪問惡意軟件標記為 PhantomRAT。他們聲稱黑客利用了Windows文件存檔工具WinRAR中的一個已知漏洞，該漏洞被鑒定為 CVE-2023-38831。

F.A.C.C.T 表示，PhantomCore 使用的策略與之前利用該漏洞的攻擊不同，黑客是通過利用特制的 RAR 存檔執(zhí)行惡意代碼，而非之前觀察到的 ZIP 文件。

為了將 PhantomRAT 傳送到受害者的系統中，黑客使用了網絡釣魚電子郵件，其中包含偽裝成合同的 PDF 文件，其中的可執(zhí)行文件只有在受害者使用低于 6.23 版本的 WinRAR 打開 PDF 文件時才會啟動。在攻擊的最后階段，感染了PhantomRAT的系統能夠從命令和控制（C2）服務器下載文件，并將文件從受感染的主機上傳到黑客控制的服務器。

此外，在攻擊活動期間，黑客可以獲得包括主機名、用戶名、本地 IP 地址和操作系統版本在內的信息，以幫助黑客進行進一步的攻擊。

在分析過程中還發(fā)現了三個PhantomRAT的測試樣本，根據F.A.C.C.T.的說法，這些樣本是從烏克蘭上傳的?！拔覀兛梢杂幸欢ǔ潭鹊男判恼f，進行這些襲擊的攻擊者可能位于烏克蘭境內，“研究人員說。

Check Point在調查了該報告和有問題的漏洞后，指出存檔中的特定樣本僅針對 64 位系統，在其他攻擊中，有效載荷可能會有所不同，如果攻擊者需要，也可能會同時影響 32 位和 64 位系統。

微軟威脅情報戰(zhàn)略主管 Sherrod DeGrippo 表示，該公司以前沒有觀察到 F.A.C.C.T. 認為屬于該組織的具體活動，但該漏洞已被網絡犯罪分子和國家支持的APT組織廣泛利用。