Angry Likho (также известная как Sticky Werewolf) - это APT-группа известная под названием Angry Likho, которая была отслеживается с 2023 года. Эта группа показывает сходство с Awaken Likho и ее деятельностью, и поэтому была классифицирована в кластере злонамеренной активности Sticky Werewolf.
Angry Likho APT
Однако атаки Angry Likho характеризуются более целевой направленностью, компактной инфраструктурой, ограниченным набором инструментов и мишенью на сотрудников крупных организаций, включая правительственные агентства и их подрядчиков. Из-за использования русскоязычных файлов-приманок, можно предположить, что злоумышленники, вероятнее всего, владеют русским языком.
Было обнаружено несколько сотен жертв атаки Angry Likho в России, несколько жертв в Беларуси и ряд других случайных инцидентов в других странах. Скорее всего, злоумышленники в первую очередь нацелились на организации в России и Беларуси, а остальные цели были случайными, возможно, исследователи, использующие среды песочницы или сети Tor и VPN.
В начале 2024 года были опубликованы отчеты нескольких поставщиков кибербезопасности об Angry Likho. Однако в июне были обнаружены новые атаки этой группы, а в январе 2025 года - вредоносная полезная нагрузка, свидетельствующая о продолжающейся активности группы.
Технические подробности о начальном векторе атаки Angry Likho показывают, что они используют стандартные копьеметательные письма с различными вложениями в качестве первоначального вектора атаки. Вложения включают вредоносные исполняемые файлы, которые используются для заражения систем жертв. Пример содержимого фишингового письма и приманки показывают, как злоумышленники получают доступ к системам жертв.
В июне 2024 года был обнаружен неизвестный имплант, связанный с группой Angry Likho. Этот имплант, названный FrameworkSurvivor.exe, был распространен с использованием самораспаковывающегося архива SFX. Имплант был создан с использованием легитимного установщика с открытым исходным кодом Nullsoft Scriptable Install System. Анализ импланта показал, что он выполняет определенные действия при запуске, и затем устанавливает скомпилированный AU3-скрипт. Этот скрипт скрывает свою функциональность и использует различные методы для обеспечения длительной активности вредоносного импланта.
Indicators of Compromise
Domains
- averageorganicfallfaw.shop
- distincttangyflippan.shop
- greentastellesqwm.shop
- handsomelydicrwop.shop
- innerverdanytiresw.shop
- lamentablegapingkwaq.shop
- macabrecondfucews.shop
- softcallousdmykw.shop
- specialadventurousw.shop
- spotlessimminentys.shop
- standingcomperewhitwo.shop
- stickyyummyskiwffe.shop
- stronggemateraislw.shop
- sturdyregularrmsnhw.shop
- testdomain123123.shop
- uniedpureevenywjk.shop
- willingyhollowsk.shop
MD5
- 0c03efd969f6d9e6517c300f8fd92921
- 1e210fcc47eda459998c9a74c30f394e
- 23ce22596f1c7d6db171753c1d2612fe
- 277acb857f1587221fc752f19be27187
- 32da6c4a44973a5847c4a969950fa4c4
- 351260c2873645e314a889170c7a7750
- 373ebf513d0838e1b8c3ce2028c3e673
- 3e6cf927c0115f76ccf507d2f5913e02
- 47765d12f259325af8acda48b1cbad48
- 5c3394e37c3d1208e499abe56e4ec7eb
- 5e17d1a077f86f7ae4895a312176eba6
- 6396908315d9147de3dff98ab1ee4cbe
- 69f6dcdb3d87392f300e9052de99d7ce
- 6bd84dfb987f9c40098d12e3959994bc
- 7140dbd0ca6ef09c74188a41389b0799
- 729c24cc6a49fb635601eb88824aa276
- 75fd9018433f5cbd2a4422d1f09b224e
- 76e7cbab1955faa81ba0dda824ebb31d
- 7c527c6607cc1bfa55ac0203bf395939
- 842f8064a81eb5fc8828580a08d9b044
- 89052678dc147a01f3db76febf8441e4
- 8e960334c786280e962db6475e0473ab
- 97b19d9709ed3b849d7628e2c31cdfc4
- 9871272af8b06b484f0529c10350a910
- 9d3337f0e95ece531909e4c8d9f1cc55
- a3f4e422aecd0547692d172000e4b9b9
- b0844bb9a6b026569f9baf26a40c36f3
- b57b13e9883bbee7712e52616883d437
- ba40c097e9d06130f366b86deb4a8124
- cdd4cfac3ffe891eac5fb913076c4c40
- d4b75a8318befdb1474328a92f0fc79d
- d8c6199b414bdf298b6a774e60515ba5
- de26f488328ea0436199c5f728ecd82a
- e0f8d7ec2be638fbf3ddf8077e775b2d
- ef8c77dc451f6c783d2c4ddb726de111
- f8df6cf748cc3cf7c05ab18e798b3e91
- faa47ecbcc846bf182e4ecf3f190a9f4
- fe0438938eef75e090a38d8b17687357
