Хакеры из группы Awaken Likho (она же Core Werewolf) атакуют российские госучреждения и промышленные предприятия с использованием технологий удаленного доступа, сообщила «Лаборатория Касперского». Для получения удаленного доступа злоумышленники используют агент для платформы MeshCentral вместо модуля UltraVNC, применявшегося ранее. Атаки по новой схеме начались в июне 2024 года и продолжались как минимум до августа.
Исследователи рассказывают, что наблюдают за Awaken Likho с 2021 года, когда была обнаружена первая кампания этой группировки, нацеленная в первую очередь на российские государственные учреждения и промышленные предприятия.
Минувшим летом специалисты обнаружили новую хак-группы. Анализ этой кампании показал, что злоумышленники изменили ПО в своих атаках. Теперь они предпочитают использовать агент для легитимной платформы MeshCentral вместо модуля UltraVNC, при помощи которого ранее получали удаленный доступ к системам жертв. При этом группу по-прежнему интересуют госорганизации и предприятия, расположенные в России.
Сообщается, что малварь загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получают в фишинговых письмах. Перед атаками злоумышленники из Awaken Likho обычно собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.
Само вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.
Отмечается, что малварь не содержит файлов без полезной нагрузки, которые эксперты наблюдали в предыдущих образцах, то есть новая версия вредоноса, похоже, еще находится в процессе разработки.
После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удаленный доступ к устройству цели.
«Деятельность группы Awaken Likho стала особенно заметна после 2022 года, она остается активной до сих пор. При этом ее методы существенно изменились: мы видим новую версию зловреда, которая использует другую технологию удаленного доступа, — комментирует Алексей Шульмин, эксперт по кибербезопасности "Лаборатории Касперского”. — Полагаем, что в будущем мы увидим новые атаки группы Awaken Likho, при этом угроза может исходить и от других АРТ-групп, использующих схожие инструменты. По данным „Лаборатории Касперского”, за первые 8 месяцев 2024 года в России число атак с использованием технологий удаленного доступа выросло на 35% по сравнению с аналогичным периодом 2023 года».