Новая версия бэкдора Loki угрожает российским компаниям: эксперты "Касперского" бьют тревогу

Loki является приватной версией агента, совместимого с Mythic, но при этом заимствует технические особенности другого популярного фреймворка - Havoc. Вредоносная программа использует продвинутые методы обфускации, включая шифрование памяти, косвенные вызовы системных API, а также поиск функций по хэшам. Это значительно усложняет работу специалистов по кибербезопасности, пытающихся расшифровать логику работы бэкдора.

После проникновения в систему загрузчик Loki собирает критически важные данные о зараженном компьютере: версию операционной системы, внутренний IP-адрес, имя пользователя, архитектуру процессора, путь к исполняемому файлу и его идентификатор. Вся эта информация упаковывается в зашифрованный пакет и отправляется на командно-контрольный сервер (C2). Для идентификации жертвы загрузчик также передает уникальный UUID, что позволяет злоумышленникам точно отслеживать зараженные системы.

Основная функциональность Loki реализована в виде динамически подгружаемой библиотеки (DLL), которую сервер C2 отправляет в ответ на запрос загрузчика. Несмотря на то что модуль основан на агенте Havoc, он включает команды, заимствованные из других проектов Mythic. Это делает бэкдор более универсальным и опасным. Однако у Loki есть и ограничения: он не поддерживает туннелирование трафика, поэтому злоумышленники вынуждены использовать сторонние инструменты для доступа к защищенным сегментам корпоративных сетей.

Эксперты отмечают, что подобные атаки носят целенаправленный характер и, скорее всего, связаны с деятельностью профессиональных хакерских групп. Использование открытых фреймворков в сочетании с кастомными доработками позволяет злоумышленникам быстро адаптировать свои инструменты под конкретные задачи, избегая детектирования традиционными системами защиты.

Угроза со стороны Loki остается актуальной, и компании должны принимать дополнительные меры безопасности, включая мониторинг подозрительной сетевой активности, регулярное обновление защитного ПО и обучение сотрудников основам кибергигиены. В условиях роста сложности кибератак только комплексный подход к информационной безопасности может минимизировать риски успешного взлома.

Лаборатория "Касперского" продолжает исследовать новые версии Loki и разрабатывать методы противодействия этому бэкдору. Эксперты рекомендуют организациям, особенно работающим в критически важных отраслях, усилить защиту периметра и внедрять решения, способные обнаруживать сложные угрозы на ранних стадиях.

URLs

• http://document.info-cloud.ru/data
• http://ui.telecomz.ru/data
• http://y.nsitelecom.ru/certcenter

SHA256

• 1aa8757c306622d320cf0d5ccceb15c49ba18a40ba9cb426d91a771242ccde52
• 5f8e9fe5156d14ab236213ad6ffe972e484880f8fce9382d28669f254e71c4c7
• aa544118deb7cb64ded9fdd9455a277d0608c6985e45152a3cbb7422bd9dc916
• e462d7d22208221873d99c4f7ba1bad26f5395f57e3a57d0da45c7db7093e31a
• ff4cd4ae4e621e3cc370e274268bd12d54f353350c55de4910b9654b465b7eea
• ff605df63ffe6d7123ad67e96f3bc698e50ac5b982750f77bbc75da8007625bb