Эксперты "Лаборатории Касперского" обнаружили новый этап АРТ-кампании, в рамках которой злоумышленники из группы Awaken Likho атакуют российские госучреждения и промышленные предприятия с использованием технологий удаленного доступа.
В отличие от первого этапа кампании, который шёл с 2021 г., теперь для получения удаленного доступа к системе злоумышленники используют агент для платформы MeshCentral вместо модуля UltraVNC. Атаки по новой схеме начались в июне 2024 г. и продолжались как минимум до августа.
Технологии удаленного доступа позволяют пользователям подключаться к удаленному компьютеру с помощью другого компьютера или мобильного устройства. Таким способом можно не только взаимодействовать с интерфейсом системы, файлами и папками, но и получать доступ к другим ресурсам устройства. Удаленный доступ изначально задумывался как средство дистанционного администрирования, однако нередко используется злоумышленниками для кибершпионажа на устройствах жертв.
Для атак злоумышленники применили новый зловред, главная особенность которого – в новом методе получения удаленного доступа к системе. Ранее для этого использовался модуль решения UltraVNC, теперь же атакующие применили ПО MeshAgent – агент для системы MeshCentral.
Зловред загружался на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получали в фишинговых письмах. Злоумышленники из Awaken Likho обычно собирают как можно больше информации о жертве в сети через поисковые системы, чтобы составить максимально убедительные сообщения.
Вредоносное ПО распространялось в самораспаковывающемся архиве, созданном при помощи утилиты 7-Zip. Архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent – агентом для легитимной платформы MeshCentral. Зловред не содержит файлов без полезной нагрузки, которые эксперты "Лаборатории Касперского" наблюдали в предыдущих образцах вредоносного ПО.
После открытия архива содержащиеся в нем файлы и скрипты выполняются автоматически и зловред закрепляется в системе, а злоумышленники получают удаленный доступ к устройству.
Деятельность группы Awaken Likho стала особенно заметна после 2022 г., она остается активной до сих пор. При этом ее методы существенно изменились: мы видим новую версию зловреда, которая использует другую технологию удаленного доступа, – комментирует Алексей Шульмин, эксперт по кибербезопасности "Лаборатории Касперского". – Полагаем, что в будущем мы увидим новые атаки группы Awaken Likho, при этом угроза может исходить и от других АРТ-групп, использующих схожие инструменты. По данным "Лаборатории Касперского", за первые 8 месяцев 2024 г. в России число атак с использованием технологий удаленного доступа выросло на 35% по сравнению с аналогичным периодом 2023 г. Для безопасности организаций необходимо надежное решение, способное обеспечивать непрерывную защиту корпоративных ресурсов даже в условиях меняющегося ландшафта угроз.
Источник: telecomdaily.ru
Изображение сгенерировано нейросетью Kandinsky https://t.me/kandinsky21_bot