據(jù)總部位于莫斯科的網(wǎng)絡(luò)安全公司F.A.C.C.T.稱(chēng)，他們發(fā)現(xiàn)了一個(gè)與烏克蘭有關(guān)聯(lián)的新黑客組織，該組織至少?gòu)慕衲?月以來(lái)就開(kāi)始運(yùn)作。

F.A.C.C.T.將該組織命名為 PhantomCore，并將一種以前未具名的遠(yuǎn)程訪問(wèn)惡意軟件標(biāo)記為 PhantomRAT。他們聲稱(chēng)黑客利用了Windows文件存檔工具WinRAR中的一個(gè)已知漏洞，該漏洞被鑒定為 CVE-2023-38831。

F.A.C.C.T 表示，PhantomCore 使用的策略與之前利用該漏洞的攻擊不同，黑客是通過(guò)利用特制的 RAR 存檔執(zhí)行惡意代碼，而非之前觀察到的 ZIP 文件。

為了將 PhantomRAT 傳送到受害者的系統(tǒng)中，黑客使用了網(wǎng)絡(luò)釣魚(yú)電子郵件，其中包含偽裝成合同的 PDF 文件，其中的可執(zhí)行文件只有在受害者使用低于 6.23 版本的 WinRAR 打開(kāi) PDF 文件時(shí)才會(huì)啟動(dòng)。在攻擊的最后階段，感染了PhantomRAT的系統(tǒng)能夠從命令和控制（C2）服務(wù)器下載文件，并將文件從受感染的主機(jī)上傳到黑客控制的服務(wù)器。

此外，在攻擊活動(dòng)期間，黑客可以獲得包括主機(jī)名、用戶(hù)名、本地 IP 地址和操作系統(tǒng)版本在內(nèi)的信息，以幫助黑客進(jìn)行進(jìn)一步的攻擊。

在分析過(guò)程中還發(fā)現(xiàn)了三個(gè)PhantomRAT的測(cè)試樣本，根據(jù)F.A.C.C.T.的說(shuō)法，這些樣本是從烏克蘭上傳的?！拔覀兛梢杂幸欢ǔ潭鹊男判恼f(shuō)，進(jìn)行這些襲擊的攻擊者可能位于烏克蘭境內(nèi)，“研究人員說(shuō)。

Check Point在調(diào)查了該報(bào)告和有問(wèn)題的漏洞后，指出存檔中的特定樣本僅針對(duì) 64 位系統(tǒng)，在其他攻擊中，有效載荷可能會(huì)有所不同，如果攻擊者需要，也可能會(huì)同時(shí)影響 32 位和 64 位系統(tǒng)。

微軟威脅情報(bào)戰(zhàn)略主管 Sherrod DeGrippo 表示，該公司以前沒(méi)有觀察到 F.A.C.C.T. 認(rèn)為屬于該組織的具體活動(dòng)，但該漏洞已被網(wǎng)絡(luò)犯罪分子和國(guó)家支持的APT組織廣泛利用。