Die Cybersicherheitslandschaft entwickelt sich ständig weiter, und Hacker-Gruppen passen ihre Taktiken entsprechend an. Ein aktuelles Beispiel dafür ist die Gruppe Awaken Likho (auch bekannt als Core Werewolf), die laut einem Bericht von Kaspersky ihre Angriffsmethoden gegen russische Regierungsbehörden und Industrieunternehmen verfeinert hat.
Neue Angriffsmethode: Von UltraVNC zu MeshCentral
Experten beobachten die Aktivitäten von Awaken Likho seit 2021. In ihrer jüngsten Kampagne, die von Juni bis mindestens August 2024 andauerte, hat die Gruppe ihre Taktik signifikant geändert. Anstelle des zuvor verwendeten UltraVNC-Moduls setzt Awaken Likho nun auf einen Agent für die legitime MeshCentral-Plattform, um Fernzugriff auf Zielsysteme zu erlangen. Diese Änderung deutet auf eine kontinuierliche Weiterentwicklung der Angriffstechniken hin.
Zielgerichtete Phishing-Kampagnen
Die Angriffe beginnen typischerweise mit sorgfältig gestalteten Phishing-E-Mails. Die Hacker sammeln zunächst detaillierte Informationen über ihre Ziele, um möglichst überzeugende Nachrichten zu erstellen. Wenn Opfer auf die in diesen E-Mails enthaltenen bösartigen Links klicken, wird die Schadsoftware auf ihren Geräten installiert.
Anatomie der Malware
Die Malware wird als selbstentpackendes Archiv verbreitet, das mit 7-Zip erstellt wurde. Es enthält fünf Dateien, von denen vier als legitime Systemdienste und Befehlsdateien getarnt sind. Eine dieser Dateien ist der MeshAgent für die MeshCentral-Plattform. Bemerkenswert ist, dass die neue Version der Malware keine Dateien ohne Payload enthält, was darauf hindeutet, dass sie sich möglicherweise noch in der Entwicklung befindet.
Automatisierte Infektion und Persistenz
Nach dem Öffnen des Archivs werden die enthaltenen Dateien und Skripte automatisch ausgeführt. Dies führt zur Etablierung der Malware im System und ermöglicht den Angreifern Fernzugriff auf das Zielgerät. Diese Automatisierung erhöht die Effizienz und Erfolgsrate der Angriffe erheblich.
Steigende Bedrohung durch Fernzugriffsangriffe
Alexei Shulmin, Cybersicherheitsexperte bei Kaspersky, betont die anhaltende Aktivität und Weiterentwicklung von Awaken Likho: „Die Aktivitäten der Gruppe Awaken Likho haben seit 2022 deutlich zugenommen und dauern bis heute an. Ihre Methoden haben sich erheblich verändert: Wir sehen eine neue Version der Malware, die eine andere Fernzugriffstechnologie verwendet.“ Kaspersky-Daten zeigen einen besorgniserregenden Trend: In den ersten 8 Monaten des Jahres 2024 stieg die Zahl der Angriffe mit Fernzugriffstechnologien in Russland im Vergleich zum Vorjahreszeitraum um 35%.
Die Evolution der Taktiken von Awaken Likho unterstreicht die Notwendigkeit für Organisationen, ihre Cybersicherheitsmaßnahmen kontinuierlich zu überprüfen und anzupassen. Besonders wichtig sind Schulungen zur Erkennung von Phishing-Angriffen, regelmäßige Software-Updates und die Implementierung fortschrittlicher Endpoint-Detection-and-Response-Lösungen. Nur durch wachsame und proaktive Sicherheitsstrategien können Unternehmen und Behörden sich gegen die sich ständig weiterentwickelnden Bedrohungen in der Cyberlandschaft wappnen.
