Эксперты «Лаборатории Касперского» обнаружили новый этап АРТ-кампании, в масштабах которой преступники из группы Awaken Likho нападают российские госучреждения и промышленные предприятия с применением технологий удалённого доступа.
В отличие от первого этапа кампании, который шёл с 2021 года, теперь для получения удалённого доступа к системе преступники используют агент для платформы MeshCentral вместо модуля UltraVNC. Атаки по новой схеме начались в начале июня 2024 года и длились как минимум до августа.
Технологии удалённого доступа позволяют пользователям подключаться к удалённому компьютеру за счет иного компьютера или мобильного устройства. Таким способом можно не только взаимодействовать с интерфейсом системы, файлами и папками, но и многие получать доступ к иным ресурсам устройства. Удалённый доступ изначально задумывался как средство дистанционного администрирования, однако нередко используется злодеями для кибершпионажа на устройствах жертв.
Для атак преступники применили новый зловред, главная особенность которого - в новом методе получения удалённого доступа к системе. Ранее для этой цели использовался модуль решения UltraVNC, и уже нападающие применили ПО MeshAgent - агент для системы MeshCentral.
Зловред загружался на устройства жертв после перехода по вредоносной ссылке, которую пользователи, на глазок, получали в фишинговых письмах. Злоумышленники из Awaken Likho обычно собирают как можно больше информации о жертве в сети через поисковые системы, чтобы составить максимально убедительные известия.
Вредоносное ПО распространялось в самораспаковывающемся архиве, созданном с подачи утилиты 7-Zip. Архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. В их числе файл с MeshAgent - агентом для легитимной платформы MeshCentral. Зловред не содержит файлов без полезной нагрузки, которые эксперты «Лаборатории Касперского» наблюдали в предыдущих образчиках вредоносного ПО.
После открытия архива находящиеся в нём файлы и скрипты выполняются автоматически и зловред закрепляется в системе, а преступники получают удалённый доступ к устройству.
«Деятельность группы Awaken Likho стала особенно заметна после 2022 года, она остаётся активной до сих пор. При этом её методы существенно изменились: мы видим новую версию зловреда, которая использует иную технологию удалённого доступа, - объясняет Алексей Шульмин, эксперт по кибербезопасности "Лаборатории Касперского". - Полагаем, что в будущем мы увидим новые атаки группы Awaken Likho, при этом угроза может исходить и от иных АРТ-групп, использующих схожие приборы. По достоверным сведениям "Лаборатории Касперского", за первые 8 месяцев 2024 года в России число атак с применением технологий удалённого доступа выросло на 35% при сравнении с подобным периодом 2023 года. Для безопасности организаций необходимо надёжное решение, способное обеспечивать сплошную защиту корпоративных ресурсов ведь даже в условиях меняющегося рельефа угроз».