Rus devlet kurumları ve endüstriyel kuruluşlar, “Almanya” adı verilen devam eden bir faaliyet kümesinin hedefidir. Likho’yu uyandır.
Kaspersky, “Saldırganlar artık daha önce sistemlere uzaktan erişim sağlamak için kullandıkları UltraVNC modülü yerine meşru MeshCentral platformu için aracıyı kullanmayı tercih ediyor.” söz konusuHaziran 2024’te başlayan ve en azından Ağustos ayına kadar devam eden yeni bir kampanyanın ayrıntılarını veriyor.
Rus siber güvenlik şirketi, kampanyanın öncelikle Rus devlet kurumlarını, yüklenicilerini ve sanayi kuruluşlarını hedef aldığını söyledi.
Aynı zamanda Core Werewolf ve PseudoGamaredon olarak da takip edilen Awaken Likho, ilk belgelenen BI.ZONE tarafından Haziran 2023’te savunma ve kritik altyapı sektörlerine yönelik siber saldırılarla ilgili olarak. Grubun en az Ağustos 2021’den beri aktif olduğuna inanılıyor.
Hedef odaklı kimlik avı saldırıları, Microsoft Word veya PDF belgeleri olarak gizlenen kötü amaçlı yürütülebilir dosyaların “doc.exe”, “.docx.exe” veya “.pdf.exe” gibi çift uzantılar atayarak dağıtılmasını içerir; böylece yalnızca .docx ve Uzantının .pdf bölümleri kullanıcılara gösterilir.
Ancak bu dosyaların açılmasının UltraVNC kurulumunu tetiklediği ve böylece tehdit aktörlerinin ele geçirilen ana bilgisayarların tam kontrolünü ele geçirmesine olanak sağladığı görüldü.
Core Werewolf tarafından gerçekleştirilen diğer saldırılarda, Ermenistan’daki bir Rus askeri üssünün yanı sıra silah geliştirmeyle uğraşan bir Rus araştırma enstitüsü de hedef alındı. bulgular Bu Mayıs ayının başlarında FACCT’den.
Bu durumlarda gözlemlenen dikkate değer bir değişiklik, hedeflere zararsız bir yem belgesi görüntülerken UltraVNC’nin gizli kurulumunu kolaylaştırmak için kendi kendine açılan bir arşivin (SFX) kullanılmasıyla ilgilidir.
Kaspersky tarafından keşfedilen en son saldırı zinciri, 7-Zip kullanılarak oluşturulan ve açıldığında “MicrosoftStores.exe” adlı bir dosyanın yürütülmesini tetikleyen ve daha sonra açık kaynağı çalıştırmak için bir AutoIt betiğini açan bir SFX arşiv dosyasına da dayanıyor. MeshAgent uzaktan yönetim aracı.
Kaspersky, “Bu eylemler APT’nin sistemde kalmasına izin veriyor: saldırganlar bir komut dosyasını çalıştıran zamanlanmış bir görev oluşturuyor ve bu da MeshCentral sunucusuyla bağlantı kurmak için MeshAgent’ı başlatıyor.” dedi.