Специалисты по кибербезопасности из «Лаборатории Касперского» обнаружили новую волну атак, направленных на российские государственные учреждения и промышленные предприятия. За этими кибернападениями стоит хакерская группировка Awaken Likho (также известная как Core Werewolf), которая изменила свою тактику, перейдя на использование новых инструментов удаленного доступа.
Эволюция тактики Awaken Likho
Эксперты наблюдают за деятельностью Awaken Likho с 2021 года, когда группировка впервые попала в поле зрения специалистов. Однако летом 2024 года исследователи зафиксировали значительные изменения в методах работы хакеров:
- Отказ от использования модуля UltraVNC для получения удаленного доступа
- Переход на агент легитимной платформы MeshCentral
- Усовершенствование методов социальной инженерии при подготовке фишинговых атак
Механизм новых атак
Процесс заражения систем жертв состоит из нескольких этапов:
- Отправка фишинговых писем с вредоносными ссылками
- Загрузка самораспаковывающегося архива при переходе по ссылке
- Автоматическое выполнение вредоносных файлов и скриптов
- Установка и закрепление малвари в системе
- Получение удаленного доступа к устройству жертвы
Особенности нового вредоносного ПО
Анализ образцов малвари показал ряд интересных особенностей:
- Использование самораспаковывающегося архива, созданного с помощью 7-Zip
- Наличие пяти файлов, четыре из которых маскируются под легитимные системные службы
- Отсутствие файлов без полезной нагрузки, что может указывать на продолжающуюся разработку
- Включение агента MeshCentral для обеспечения удаленного доступа
Масштабы угрозы и прогнозы экспертов
По данным «Лаборатории Касперского», за первые 8 месяцев 2024 года количество атак с использованием технологий удаленного доступа в России выросло на 35% по сравнению с аналогичным периодом 2023 года. Эксперты прогнозируют дальнейшую активность группы Awaken Likho и предупреждают о возможных атаках со стороны других APT-групп, использующих схожие инструменты.
Алексей Шульмин, эксперт по кибербезопасности «Лаборатории Касперского», отмечает: «Деятельность группы Awaken Likho стала особенно заметна после 2022 года, она остается активной до сих пор. При этом ее методы существенно изменились: мы видим новую версию зловреда, которая использует другую технологию удаленного доступа».
В свете растущей угрозы кибератак крайне важно, чтобы российские государственные учреждения и промышленные предприятия усилили свои меры кибербезопасности. Это включает регулярное обновление систем защиты, проведение тренингов по информационной безопасности для сотрудников и внедрение многоуровневых систем защиты от несанкционированного доступа. Только комплексный подход к кибербезопасности позволит эффективно противостоять современным угрозам и минимизировать риски успешных атак.
