Хакеры атакуют российский бизнес через взломанные госсайты и облачные сервисы

Российские промышленные и добывающие компании всё чаще становятся мишенями для сложных целенаправленных атаках со стороны профессиональных группировок. Последние два года в фокусе экспертов по информационной безопасности находится кластер активности под условным названием Mythic Likho, чьи операции отличаются высокой технической подготовкой, продуманной социальной инженерией и использованием как собственных уникальных инструментов, так и коллаборацией с другими известными группами злоумышленников. Главная цель атак - финансовое вымогательство путём шифрования данных, что делает их особенно опасными для непрерывности бизнес-процессов.

Описание

Аналитики экспертного центра безопасности Positive Technologies провели масштабное расследование, объединив данные киберразведки и реагирования на инциденты, чтобы составить полную картину тактик, техник и процедур этой группировки. Их деятельность демонстрирует эволюцию угроз для критической информационной инфраструктуры, где тщательная разведка жертвы сочетается с изощрёнными методами обхода защиты. Основной вектор атак - фишинг, но не в его примитивной форме. Злоумышленники тратят значительное время на изучение будущей жертвы: сферы деятельности, контрагентов, сотрудников и их ролей. Это позволяет создавать правдоподобные легенды для переписки.

Для доставки вредоносного ПО группировка создаёт разветвлённую гибридную инфраструктуру. Она включает как арендованные серверы и специально зарегистрированные домены, так и взломанные легитимные ресурсы. Особое внимание уделяется мимикрии под российские сервисы. Злоумышленники регистрируют домены, имитирующие облачные хранилища, почтовые сервисы или даже госуслуги. Например, в их арсенале фигурируют домены вроде "ilcloud[.]ru", "gosuslugi-help[.]ru" или "vesti-news[.]ru". Взломанные сайты государственных учреждений, коммерческих организаций и СМИ превращаются в платформы для размещения вредоносных файлов, что повышает доверие жертвы к ссылке. Для переписки с сотрудниками целей регистрируются электронные почты, стилизованные под реальных контрагентов, с использованием фавиконов настоящих компаний и даже реальных данных сотрудников, полученных при взломе.

Атака начинается с фишингового письма, часто не содержащего сразу вредоносной ссылки. Сначала злоумышленники вступают в доверительную переписку, лишь затем отправляя ссылку на, казалось бы, легитимный документ. Если система защиты блокирует доступ к ресурсу, операторы в ходе диалога предлагают альтернативную ссылку, например, на другое «облако». Переход по ссылке ведёт к скачиванию архива, содержащего файлы с двойным расширением. Чаще всего это LNK-ярлыки, маскирующиеся под PDF или JPG. Их запуск инициирует сложную цепочку заражения.

Первые стадии обеспечиваются модульными дропперами собственной разработки, которые последовательно извлекают и запускают в памяти конечную полезную нагрузку. Инструментарий группировки эволюционирует. Изначально использовался загрузчик HuLoader, затем группировка применяла модифицированный опенсорсный инструмент Merlin, а позже перешла на более сложный ReflectPulse. Конечной целью обычно является бэкдор Loki, обеспечивающий полный контроль над системой. Этот бэкдор позволяет выполнять команды, выгружать и загружать файлы, перемещаться по сети и собирать информацию. Важной особенностью является постоянное совершенствование методов обфускации, включая сложные техники замусоривания оперативной памяти для затруднения анализа.

После закрепления в системе злоумышленники проводят разведку, используя как встроенные команды Windows, так и дополнительные утилиты вроде Nmap и SharpHound. С помощью инструментов вроде Mimikatz и XenArmor Password Recovery они добывают учётные данные, в том числе привилегированные. Горизонтальное перемещение по сети осуществляется с помощью PsExec и Impacket. Собранные данные архивируются и выгружаются в облачные хранилища или на управляющие серверы с помощью утилиты Rclone. Финал атаки - деструктивное воздействие. В исследованных случаях Mythic Likho использовали шифровальщик LockBit для блокировки данных, а также форматировали диски и удаляли резервные копии, оставляя инструкции по выкупу на русском языке.

Особую озабоченность экспертов вызывает установленная связь с другой известной группировкой, условно обозначаемой как (Ex)Cobalt. В ходе расследований обнаружены случаи, когда Mythic Likho получали первоначальный доступ в сети, уже скомпрометированные этой группой, используя созданные ею SSH-ключи. Более того, для перемещения внутри сети использовался один и тот же сервер, что указывает на тесную коллаборацию или обмен инфраструктурой между этими профессиональными сообществами. Эксперты Positive Technologies в своём отчёте подчёркивают, что обнаруженные артефакты прямо указывают на совместную деятельность или партнёрские отношения между группировками, что усиливает общий потенциал угрозы.

Прогноз специалистов неутешителен: Mythic Likho обладают высоким уровнем экспертизы, финансовыми ресурсами и дисциплиной, что позволит им долгое время оставаться значимой угрозой для российского бизнеса, особенно в промышленном секторе. Противодействие таким сложным атакам требует комплексного подхода, выходящего за рамки традиционных антивирусных решений. Необходимо сочетание поведенческого анализа, актуальных данных киберразведки и постоянного обучения сотрудников. Ключевые рекомендации включают обязательную проверку вложений от недоверенных отправителей, отображение реальных расширений файлов в системе, блокировку подозрительных доменов на уровне сетевого периметра и регулярное обучение персонала распознаванию изощрённых фишинговых атак, где злоумышленники могут вести многоэтапную диалоговую переписку.