Поделиться
Разбудили лихо: идет новый виток кампании кибершпионажа на российские организации
Эксперты «Лаборатории Касперского» обнаружили новый этап АРТ-кампании, в рамках которой злоумышленники из группы Awaken Likho атакуют российские госучреждения и промышленные предприятия с использованием технологий удаленного доступа. В отличие от первого этапа кампании, который шел с 2021 г., теперь для получения удаленного доступа к системе злоумышленники используют агент для платформы MeshCentral вместо модуля UltraVNC. Атаки по новой схеме начались в июне 2024 г. и продолжались как минимум до августа. Об этом CNews сообщили представители «Лаборатории Касперского».
Технологии удаленного доступа позволяют пользователям подключаться к удаленному компьютеру с помощью другого компьютера или мобильного устройства. Таким способом можно не только взаимодействовать с интерфейсом системы, файлами и папками, но и получать доступ к другим ресурсам устройства. Удаленный доступ изначально задумывался как средство дистанционного администрирования, однако нередко используется злоумышленниками для кибершпионажа на устройствах жертв.
Технические инструменты. Для атак злоумышленники применили новый зловред, главная особенность которого — в новом методе получения удаленного доступа к системе. Ранее для этого использовался модуль решения UltraVNC, теперь же атакующие применили ПО MeshAgent — агент для системы MeshCentral.
Как начинается атака. Зловред загружался на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получали в фишинговых письмах. Злоумышленники из Awaken Likho обычно собирают как можно больше информации о жертве в сети через поисковые системы, чтобы составить максимально убедительные сообщения.
Вредоносное ПО распространялось в самораспаковывающемся архиве, созданном при помощи утилиты 7-Zip. Архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral. Зловред не содержит файлов без полезной нагрузки, которые эксперты «Лаборатории Касперского» наблюдали в предыдущих образцах вредоносного ПО.
После открытия архива содержащиеся в нем файлы и скрипты выполняются автоматически и зловред закрепляется в системе, а злоумышленники получают удалённый доступ к устройству.
«Деятельность группы Awaken Likho стала особенно заметна после 2022 г., она остается активной до сих пор. При этом ее методы существенно изменились: мы видим новую версию зловреда, которая использует другую технологию удаленного доступа, — сказал Алексей Шульмин, эксперт по кибербезопасности «Лаборатории Касперского». — Полагаем, что в будущем мы увидим новые атаки группы Awaken Likho, при этом угроза может исходить и от других АРТ-групп, использующих схожие инструменты. По данным «Лаборатории Касперского», за первые восемь месяцев 2024 г. в России число атак с использованием технологий удаленного доступа выросло на 35% по сравнению с аналогичным периодом 2023 г. Для безопасности организаций необходимо надежное решение, способное обеспечивать непрерывную защиту корпоративных ресурсов даже в условиях меняющегося ландшафта угроз».
Для защиты от сложных целевых атак «Лаборатория Касперского» рекомендует: использовать комплексное решение, такое как Kaspersky Symphony XDR, для всесторонней защиты организации; регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform; использовать сервисы информирования об угрозах, например, Kaspersky Threat Intelligence — комплекс с единой точкой доступа к данным и аналитике, собранным «Лабораторией Касперского» за более чем 20 лет; использовать решение для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных устройств, такое как Kaspersky Endpoint Detection and Response, а также решение для обнаружения продвинутых угроз на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform.
В течение 2023 г. решения «Лаборатории Касперского» принимали участие в 100 независимых тестированиях защитных технологий по различным параметрам, в том числе 93 раза заняли первые места.
Поделиться
Короткая ссылка
