✔Группировка Awaken Likho атакует российские госучреждения и промышленные предприятия - «Новости»

09 октября 2024 212 Преимущества стилей / Новости / Изображения / Добавления стилей / Заработок / Вёрстка / Отступы и поля / Текст 0

Исследователи рассказывают, что наблюдают за Awaken Likho с 2021 года, когда была обнаружена первая кампания этой группировки, нацеленная в первую очередь на российские государственные учреждения и промышленные предприятия.

Минувшим летом специалисты обнаружили новую хак-группы. Анализ этой кампании показал, что злоумышленники изменили ПО в своих атаках. Теперь они предпочитают использовать агент для легитимной платформы MeshCentral вместо модуля UltraVNC, при помощи которого ранее получали удаленный доступ к системам жертв. При этом группу по-прежнему интересуют госорганизации и предприятия, расположенные в России.

Сообщается, что малварь загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получают в фишинговых письмах. Перед атаками злоумышленники из Awaken Likho обычно собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.

Само вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.

Группировка Awaken Likho атакует российские госучреждения и промышленные предприятия - «Новости»

Отмечается, что малварь не содержит файлов без полезной нагрузки, которые эксперты наблюдали в предыдущих образцах, то есть новая версия вредоноса, похоже, еще находится в процессе разработки.

После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удаленный доступ к устройству цели.

«Деятельность группы Awaken Likho стала особенно заметна после 2022 года, она остается активной до сих пор. При этом ее методы существенно изменились: мы видим новую версию зловреда, которая использует другую технологию удаленного доступа, — комментирует Алексей Шульмин, эксперт по кибербезопасности "Лаборатории Касперского”. — Полагаем, что в будущем мы увидим новые атаки группы Awaken Likho, при этом угроза может исходить и от других АРТ-групп, использующих схожие инструменты. По данным „Лаборатории Касперского”, за первые 8 месяцев 2024 года в России число атак с использованием технологий удаленного доступа выросло на 35% по сравнению с аналогичным периодом 2023 года».

Хакеры из группы Awaken Likho (она же Core Werewolf) атакуют российские госучреждения и промышленные предприятия с использованием технологий удаленного доступа, сообщила «Лаборатория Касперского». Для получения удаленного доступа злоумышленники используют агент для платформы MeshCentral вместо модуля UltraVNC, применявшегося ранее. Атаки по новой схеме начались в июне 2024 года и продолжались как минимум до августа. Исследователи рассказывают, что наблюдают за Awaken Likho с 2021 года, когда была обнаружена первая кампания этой группировки, нацеленная в первую очередь на российские государственные учреждения и промышленные предприятия. Минувшим летом специалисты обнаружили новую хак-группы. Анализ этой кампании показал, что злоумышленники изменили ПО в своих атаках. Теперь они предпочитают использовать агент для легитимной платформы MeshCentral вместо модуля UltraVNC, при помощи которого ранее получали удаленный доступ к системам жертв. При этом группу по-прежнему интересуют госорганизации и предприятия, расположенные в России. Сообщается, что малварь загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получают в фишинговых письмах. Перед атаками злоумышленники из Awaken Likho обычно собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания. Само вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral. Отмечается, что малварь не содержит файлов без полезной нагрузки, которые эксперты наблюдали в предыдущих образцах, то есть новая версия вредоноса, похоже, еще находится в процессе разработки. После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удаленный доступ к устройству цели. «Деятельность группы Awaken Likho стала особенно заметна после 2022 года, она остается активной до сих пор. При этом ее методы существенно изменились: мы видим новую версию зловреда, которая использует другую технологию удаленного доступа, — комментирует Алексей Шульмин, эксперт по кибербезопасности

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.