Хакеры из группы Awaken Likho (она же Core Werewolf) атакуют российские госучреждения и промышленные предприятия с использованием технологий удаленного доступа, сообщила «». Для получения удаленного доступа злоумышленники используют агент для платформы MeshCentral вместо модуля UltraVNC, применявшегося ранее. Атаки по новой схеме начались в июне 2024 года и продолжались как минимум до августа.
Исследователи рассказывают, что наблюдают за Awaken Likho с 2021 года, когда была обнаружена первая кампания этой группировки, нацеленная в первую очередь на российские государственные учреждения и промышленные предприятия.
Минувшим летом специалисты обнаружили новую хак-группы. Анализ этой кампании показал, что злоумышленники изменили ПО в своих атаках. Теперь они предпочитают использовать агент для легитимной платформы MeshCentral вместо модуля UltraVNC, при помощи которого ранее получали удаленный доступ к системам жертв. При этом группу по-прежнему интересуют госорганизации и предприятия, расположенные в России.
Сообщается, что малварь загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получают в фишинговых письмах. Перед атаками злоумышленники из Awaken Likho обычно собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.
Само вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.
Отмечается, что малварь не содержит файлов без полезной нагрузки, которые эксперты наблюдали в предыдущих образцах, то есть новая версия вредоноса, похоже, еще находится в процессе разработки.
После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удаленный доступ к устройству цели.
Исследователи рассказывают, что наблюдают за Awaken Likho с 2021 года, когда была обнаружена первая кампания этой группировки, нацеленная в первую очередь на российские государственные учреждения и промышленные предприятия.
Минувшим летом специалисты обнаружили новую хак-группы. Анализ этой кампании показал, что злоумышленники изменили ПО в своих атаках. Теперь они предпочитают использовать агент для легитимной платформы MeshCentral вместо модуля UltraVNC, при помощи которого ранее получали удаленный доступ к системам жертв. При этом группу по-прежнему интересуют госорганизации и предприятия, расположенные в России.
Сообщается, что малварь загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получают в фишинговых письмах. Перед атаками злоумышленники из Awaken Likho обычно собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.
Само вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.
Отмечается, что малварь не содержит файлов без полезной нагрузки, которые эксперты наблюдали в предыдущих образцах, то есть новая версия вредоноса, похоже, еще находится в процессе разработки.
После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удаленный доступ к устройству цели.
