Експерти з кібербезпеки виявили нову хвилю атак на російські державні установи та промислові підприємства. Хакерське угруповання Awaken Likho, відоме також як Core Werewolf, змінило свою тактику, використовуючи нові інструменти для отримання віддаленого доступу до систем жертв.
Еволюція методів кібератак
За даними “Лабораторії Касперського”, хакери з Awaken Likho почали застосовувати агент для платформи MeshCentral замість раніше використовуваного модуля UltraVNC. Ця зміна стратегії спостерігається з червня 2024 року і триває щонайменше до серпня. Такий перехід на нові інструменти свідчить про постійну адаптацію кіберзлочинців до сучасних методів захисту.
Механізм проникнення та розповсюдження малware
Аналіз нової кампанії показав, що зловмисне програмне забезпечення потрапляє на пристрої жертв через фішингові листи. Користувачі, переходячи за шкідливими посиланнями, несвідомо завантажують малware. Перед атаками хакери ретельно збирають інформацію про цілі, щоб створити максимально переконливі повідомлення.
Структура шкідливого програмного забезпечення
Вірус розповсюджується у вигляді самоархівуючого архіву, створеного за допомогою 7-Zip. Архів містить п’ять файлів, чотири з яких замасковані під легітимні системні служби та командні файли. Ключовим компонентом є файл з MeshAgent – агентом для платформи MeshCentral. Примітно, що нова версія малware не містить файлів без корисного навантаження, які спостерігалися в попередніх зразках, що вказує на активний процес розробки вірусу.
Наслідки та потенційні загрози
Після відкриття архіву файли та скрипти виконуються автоматично, закріплюючи малware в системі та надаючи зловмисникам віддалений доступ до пристрою жертви. За словами Алексія Шульміна, експерта з кібербезпеки “Лабораторії Касперського”, активність групи Awaken Likho значно зросла після 2022 року і продовжує залишатися високою. Експерти прогнозують подальші атаки як від цієї групи, так і від інших APT-угруповань, що використовують схожі інструменти.
Статистика “Лабораторії Касперського” показує тривожну тенденцію: за перші 8 місяців 2024 року кількість атак з використанням технологій віддаленого доступу в Росії зросла на 35% порівняно з аналогічним періодом 2023 року. Ця інформація підкреслює необхідність постійного вдосконалення систем кібербезпеки та підвищення пильності користувачів щодо потенційних загроз. Організаціям рекомендується регулярно оновлювати системи захисту, проводити навчання персоналу з питань кібербезпеки та впроваджувати багаторівневі системи захисту для мінімізації ризиків успішних атак.
