В России выявлена новая хакерская атака Mythic Likho
Эксперты кибербезопасности обнаружили масштабную целевую атаку на российские организации, получившую название Mythic Likho. Злоумышленники применяют усовершенствованные версии двух вредоносных программ — бэкдора Merlin и программы Loki, что демонстрирует высокий уровень технической подготовки атакующих.
По данным исследования, вредоносные программы построены на базе открытого фреймворка Mythic. Под прицел киберпреступников попали свыше десяти крупных организаций России, представляющих различные секторы экономики — от телекоммуникационной сферы до промышленных предприятий. Основной целью злоумышленников является получение доступа к защищенной информации компаний.
Распространение вредоносного программного обеспечения осуществляется через тщательно замаскированные фишинговые рассылки. Интересен случай, когда злоумышленники направили в HR-отдел производственного предприятия запрос о предоставлении рекомендации на якобы бывшего работника, рассматривающего предложение о трудоустройстве.
В большинстве случаев злоумышленники прикрепляют к письмам архивы, якобы содержащие резюме. При открытии таких файлов активируется бэкдор Merlin, созданный на языке программирования Go. Примечательно, что данный инструмент универсален и может работать на всех популярных операционных системах — Windows, Linux и macOS. Программа поддерживает современные веб-протоколы HTTP/1.1, HTTP/2 и HTTP/3. После запуска Merlin собирает и отправляет на командный сервер подробную информацию о зараженной системе, включая сетевые параметры, данные об операционной системе и аппаратной конфигурации.
В ходе исследования выявлен случай, когда Merlin использовался для установки обновленной версии бэкдора Loki. Это вредоносное ПО также занимается сбором системной информации, включая уникальный идентификатор, сетевые параметры, сведения об операционной системе и расположении исполняемых файлов. В последней версии добавлена функция получения имени пользователя системы.
Использование фреймворка Mythic позволяет злоумышленникам создавать гибкие вредоносные программы под различные платформы, что существенно расширяет возможности для проведения атак. Обе обнаруженные программы демонстрируют высокий уровень технической реализации.
На текущий момент специалистам не удалось установить принадлежность данной кампании к известным хакерским группировкам. Продолжается тщательное расследование инцидентов и укрепление защиты потенциальных целей атак.
К счастью, своевременное обнаружение угрозы позволяет организациям принять необходимые меры защиты. Специалисты по кибербезопасности разработали эффективные рекомендации по противодействию подобным атакам и защите корпоративных данных.
Источник: www.gazeta.ru
