Эксперты «Лаборатории Касперского» обнаружили кампанию с применением ранее безызвестной модификации бэкдора Merlin, а также новой версии зловреда Loki. Обе вредоносных программы предназначены для работы с фреймворком с открытым исходным кодом Mythic. С атаками столкнулись более десятка российских организаций из различных отраслей - от телекоммуникаций до промышленности. Цели преступников безошибочно не ясны: на глазок, они устремляются украсть конфиденциальные данные.
Для распространения бэкдоров используется классический метод - фишинг, но тексты могут являться различными. Например, одно из писем было адресовано отделу кадров машиностроительного завода. Его творцы просили дать характеристику на минувшего сотрудника, который сейчас якобы устраивается на ответственную должность в их компании. В аналогичных письмах, по всей видимости, содержатся вредоносные ссылки для скачивания архива с «резюме» претендента. Если пользователь откроет документ-приманку, начнётся загрузка бэкдора Merlin.
Новый зловред. Merlin - это постэксплуатационный инструмент с открытым исходным кодом. Он написан на языке Go и может быть адаптирован под различные операционные системы: Windows, Linux и macOS. Также он поддерживает протоколы HTTP/1.1, HTTP/2 и HTTP/3. После запуска бэкдор связывается с сервером преступников и отправляет им данные о системе: IP-адрес, версию операционной системы, имя хоста и имя пользователя, архитектуру процессора, информацию о процессе, в каком запущен Merlin.
Один из экземпляров Merlin загружал в систему жертвы новую версию бэкдора Loki. Зловред, как и в первой версии, отправляет различные данные о системе и своей сборке: идентификатор агента, внутренний IP-адрес, версию операционной системы, наименованье компьютера, путь к файлу агента, только теперь к этому списку добавилось поле открыл Америку пользователя.
И Merlin, и Loki предназначены для работы с фреймворком Mythic. Данный инструмент был разработан для удалённого управления устройствами в процессе имитации кибератак и оценки уровня защищённости систем. Однако он в состоянии быть использован и во вредоносных целях. Фреймворк Mythic позволяет создавать агенты на любом языке под любую платформу с необходимой разработчику функциональностью, чем и пользуются злоумышленники. Собранной информации пока недостаточно, чтобы отнести атаки с применением Merlin и Loki к бы то ни был группе. Поэтому кампания получила отдельное наименованье - Mythic Likho.
«Отличительная особенность группы Mythic Likho - использование фреймворка Mythic и кастомных агентов для него. При этом преступники стараются не даваться в руки шаблонов: хотя зловреды распространяются через письма, их содержание может меняться, как и дальнейшая цепочка заражения. Аналогичная гибкость повышает шанс нападающих на лавры победителя. Поэтому организациям необходимо уделять повышенное внимание информационной безопасности и использовать надёжные защитные решения», - объясняет исследователь угроз в «Лаборатории Касперского» Артём Ушков.
Фото: Freepik