PhantomCore: ваши новые невидимые коллеги. Они уже две недели в сети, а вы их даже не заметили
NewsMakerPositive Technologies обнаружила скрытую кибератаку во время установки системы защиты в январе 2026 года.
Две недели злоумышленники незаметно двигались по корпоративной сети, перехватывали учетные данные и расширяли доступ, пока атаку не прервали уже на этапе внедрения системы защиты. Инцидент показал, как быстро ошибки в инфраструктуре превращаются в полный контроль над доменом.
В январе 2026 года решение PT X во время установки в инфраструктуру заказчика зафиксировало аномальную активность на хостах, защищаемых MaxPatrol EDR. Уже через 15 минут после обнаружения система выдала рекомендацию заблокировать доменную учетную запись администратора с подозрительным поведением. Спустя полтора часа компания подтвердила факт компрометации и вместе с командой PT X начала локализацию атаки.
К расследованию подключилась группа реагирования PT ESC IR. Специалисты установили, что за атакой стоит группировка PhantomCore, известная с марта 2024 года. Группировка атакует российские организации из госсектора, судостроения, добывающей отрасли и ИТ, основной интерес связан с кибершпионажем. Точкой входа стала уязвимость в платформе видеоконференцсвязи, через которую злоумышленники получили доступ в корпоративную сеть.
Атакующие использовали недостатки защиты инфраструктуры: запустили вредоносное ПО с управляющего сервера, перехватили пароли доменного администратора и продолжили движение внутри сети с помощью утилиты atexec.py. Отсутствие сегментации и разделения привилегий позволило расширить доступ. Под контроль попали контроллер домена и служба сертификации Active Directory.
Две недели злоумышленники незаметно двигались по корпоративной сети, перехватывали учетные данные и расширяли доступ, пока атаку не прервали уже на этапе внедрения системы защиты. Инцидент показал, как быстро ошибки в инфраструктуре превращаются в полный контроль над доменом.
В январе 2026 года решение PT X во время установки в инфраструктуру заказчика зафиксировало аномальную активность на хостах, защищаемых MaxPatrol EDR. Уже через 15 минут после обнаружения система выдала рекомендацию заблокировать доменную учетную запись администратора с подозрительным поведением. Спустя полтора часа компания подтвердила факт компрометации и вместе с командой PT X начала локализацию атаки.
К расследованию подключилась группа реагирования PT ESC IR. Специалисты установили, что за атакой стоит группировка PhantomCore, известная с марта 2024 года. Группировка атакует российские организации из госсектора, судостроения, добывающей отрасли и ИТ, основной интерес связан с кибершпионажем. Точкой входа стала уязвимость в платформе видеоконференцсвязи, через которую злоумышленники получили доступ в корпоративную сеть.
Атакующие использовали недостатки защиты инфраструктуры: запустили вредоносное ПО с управляющего сервера, перехватили пароли доменного администратора и продолжили движение внутри сети с помощью утилиты atexec.py. Отсутствие сегментации и разделения привилегий позволило расширить доступ. Под контроль попали контроллер домена и служба сертификации Active Directory.