Более десяти российских предприятий из разных сфер деятельности - от машиностроения до медицины - в начале июля подверглись кибератакам с применением ранее безызвестного бэкдора Loki. Об этом сообщают эксперты «Лаборатории Касперского».
Этот зловред был создан на основании неоднократно используемого фреймворка с открытым исходным кодом Mythic. Mythic был разработан как инструмент для удалённого управления в процессе имитации кибератак и оценки защищённости систем, но он в состоянии быть использован и во вредоносных целях. Преступники всё чаще активно тестируют и применяют разные фреймворки для удалённого управления устройствами жертв, а также переделывают их под свои нищеты, в том числе и в надежде затруднения обнаружения и атрибуции.
Фреймворк Mythic позволяет создавать агенты на любом языке под любую платформу с необходимой разработчику функциональностью, чем и воспользовались нападающие. Они разработали частную версию агента, получившую наименование Loki. Помимо фреймворка с открытым исходным кодом в атаках применяются и те общедоступные утилиты.
Эксперты предполагают, что в ряде случаев Loki попадает на компьютер жертвы через электронную почту, а затем невнимательный пользователь сам запускает его. Такой вывод они создали в следствии данных телеметрии и наименований файлов, в каких был обнаружен зловред.
Как и многие другие бэкдоры, Loki умеет выполнять разные команды на заражённом устройстве. Преступники могут скачать с него любой файл, а также загрузить и запустить любой вредоносный инструмент. В ряде случаев атаки с применением аналогичных бэкдоров кончались не только утечкой конфиденциальных данных, но и полной утратой всех файлов, которые хранились в скомпрометированной системе.
«Преступники неоднократно прибегают к приёмам социальной инженерии, чтобы проникнуть в целевые системы и получить доступ к конфиденциальной информации. Для сопротивления кибератакам важно реализовывать многоуровневую стратегию безопасности, в том числе вести мониторинг сетевой активности, регулярно обновлять все системы и ПО, чтобы исключить возможность воспользоваться уязвимостями для проникновения в корпоративную сеть, а также непременно обучать сотрудников навыкам распознавания признаков попыток кибератак», - объясняет директор «Лаборатории Касперского» по исследованиям и разработке Антон Иванов.
Фото: Freepik.com