**Актуально на 20 сентября 2025**
Группировка Head Mare возобновила активные фишинговые кампании против предприятий в России и Беларуси и одновременно усложнила техническую часть атаки. Если весной злоумышленники опирались на один основной бэкдор, то летом исследователи зафиксировали многоступенчатую цепочку: первичный модуль PhantomRemote, затем загрузчик PhantomCSLoader и, наконец, агент закрепления PhantomSAgent. Цель — повысить надёжность проникновения и выживаемость в инфраструктуре: даже если один компонент обнаружат и удалят, другие сохранят доступ.
**Первоначальный доступ** осуществляется через e‑mail‑вложения с полиглот‑файлами. Такой документ одновременно валиден для нескольких форматов, что затрудняет детектирование и повышает шансы на запуск пользователем. Дальше PhantomRemote получает командный канал и начинает подтягивать дополнительные модули, которые обеспечивают развертывание и закрепление. Используются разные технологии — от PowerShell до C/C# — но общая модель связи с C2 остаётся схожей.
**Почему это опасно для бизнеса.** Подобные многоступенчатые цепочки развязаны от одного конкретного детектора и требуют «многоуровневой» обороны: сочетания почтовых шлюзов, песочниц, EDR/NGAV на рабочих станциях, сетевой телеметрии и ручного разбора подозрительных вложений. Плюс — сегментация: грамотный разрыв плоскостей доступа мешает злоумышленнику быстро перемещаться по сети.
**Рекомендации SOC/ИБ‑командам**
– Поднять уровень строгих проверок вложений (включая полиглот‑анализ), завести правила для нетипичных контейнеров и связанных артефактов.
– Прописать «процедуру нуля»: при срабатывании на подозрительное вложение — автоизоляция хоста, выгрузка артефактов, откат и ротация секретов.
– Следить за редкими, но показателями команд: внезапные PowerShell‑сессии без профиля, обращения к неизвестным доменам с единичными запросами, появление новых планировщиков/служб.
– Провести tabletop по фишингу: от эскалации до lateral movement, закрепив ответственность и RACI между ИТ и ИБ.
**Вывод.** Head Mare — пример эволюции «региональных» группировок: меньше шумных «бомб», больше инженерной дисциплины. Побеждают не только сигнатуры, но и процессы: от культуральной гигиены на почте до быстрого изолирования хостов и отбора артефактов для анализа.
Источник: Xakep.ru
