Поделиться
Двойник Loki: российские организации атакует новая версия бэкдора Merlin
Эксперты «Лаборатории Касперского» обнаружили кампанию с использованием ранее неизвестной модификации бэкдора Merlin, а также новой версии зловреда Loki. Обе вредоносных программы созданы для работы с фреймворком с открытым исходным кодом Mythic. С атаками столкнулись более 10 российских организаций из разных отраслей — от телекоммуникаций до промышленности. Цели злоумышленников точно не ясны: предположительно, они стремятся украсть конфиденциальные данные. Об этом CNews сообщили представители «Лаборатории Касперского».
Для распространения бэкдоров используется классический метод — фишинг, но тексты могут быть разными. Например, одно из писем было адресовано отделу кадров машиностроительного завода. Его авторы просили дать характеристику на бывшего сотрудника, который сейчас якобы устраивается на ответственную должность в их компании. В подобных письмах, по всей видимости, содержатся вредоносные ссылки для скачивания архива с «резюме» кандидата. Если пользователь откроет документ-приманку, начнется загрузка бэкдора Merlin.
Merlin — это постэксплуатационный инструмент с открытым исходным кодом. Он написан на языке Go и может быть адаптирован под разные операционные системы: Windows, Linux и macOS. Также он поддерживает протоколы HTTP/1.1, HTTP/2 и HTTP/3. После запуска бэкдор связывается с сервером злоумышленников и отправляет им данные о системе: IP-адрес, версию операционной системы, имя хоста и имя пользователя, архитектуру процессора, информацию о процессе, в котором запущен Merlin.
Один из экземпляров Merlin загружал в систему жертвы новую версию бэкдора Loki. Зловред, как и в первой версии, отправляет разные данные о системе и своей сборке: идентификатор агента, внутренний IP-адрес, версию операционной системы, название компьютера, путь к файлу агента, только теперь к этому списку добавилось поле с именем пользователя.
И Merlin, и Loki созданы для работы с фреймворком Mythic. Этот инструмент был разработан для удаленного управления устройствами в ходе имитации кибератак и оценки уровня защищенности систем. Однако он может быть использован и во вредоносных целях. Фреймворк Mythic позволяет создавать агенты на любом языке под любую платформу с необходимой разработчику функциональностью, чем и пользуются злоумышленники. Собранной информации пока недостаточно, чтобы отнести атаки с использованием Merlin и Loki к какой-либо группе. Поэтому кампания получила отдельное название — Mythic Likho.
«Характерная особенность группы Mythic Likho — использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов: хотя зловреды распространяются через письма, их содержание может меняться, как и последующая цепочка заражения. Подобная гибкость повышает шанс атакующих на успех. Поэтому организациям необходимо уделять повышенное внимание информационной безопасности и использовать надежные защитные решения», — сказал Артем Ушков, исследователь угроз в «Лаборатории Касперского».
Чтобы противостоять подобным атакам, «Лаборатория Касперского» рекомендует организациям: регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга; обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть; предоставлять ИБ-специалистам возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intellegence; использовать комплексное решение, обеспечивающее непрерывную защиту корпоративных ресурсов в условиях меняющегося ландшафта киберугроз.
Поделиться
Короткая ссылка
