Исследователи «Касперского» выявили кампанию APT-группы Awaken Likho, также известной как Core Werewolf, направленную на российские государственные учреждения и промышленные предприятия.
Awaken Likho AP
Кампания, активная с июня по август 2024 года, ознаменовала смену тактики: вместо ранее использовавшегося модуля UltraVNC для удаленного доступа к системе группа стала использовать MeshAgent, агент для легитимной платформы MeshCentral. Имплант доставлялся по вредоносному URL-адресу, вероятно, из фишинговых писем, и был упакован в самораспаковывающийся архив с помощью UPX.
Цепочка атак включала AutoIt-скрипт, выполняющий два файла - NetworkDrivers[.]exe и nKka9a82kjn8KJHA9[.]cmd - для обеспечения устойчивости. NetworkDrivers[.]exe - это MeshAgent, который взаимодействует с сервером C2, а сильно обфусцированный скрипт nKka9a82kjn8KJHA9[.]cmd создает запланированную задачу MicrosoftEdgeUpdateTaskMachineMS, которая запускает EdgeBrowser.cmd и удаляет следы атаки. Злоумышленники также использовали файл конфигурации NetworkDrivers[.]msh для MeshAgent, чтобы установить соединение с сервером MeshCentral.
Основываясь на используемых тактиках, техниках и процедурах (TTP), виктимологии и эволюции их методов, Касперский приписывает эти атаки Awaken Likho. Эта группа продолжает совершенствовать свои методы, что указывает на то, что ее вредоносное ПО все еще находится в стадии разработки и что вероятны новые атаки.
Indicators of Compromise
IPv4
- 38.180.101.12
Domains
- kwazindernuren.com
MD5
- 603eead3a4dd56a796ea26b1e507a1a3
- 63302bc6c9aebe8f0cdafdd2ecc2198a
- 892c55202ce3beb1c82183c1ad81c7a0
- 912ebcf7da25c56e0a2bd0dfb0c9adff
- c495321edebe32ce6731f7382e474a0e
- deae4a955e1c38aae41bec5e5098f96f