سازمانهای دولتی و نهادهای صنعتی روسیه هدف فعالیتهای مستمری هستند که نامگذاری شدهاند لخو بیدار شو.
کسپرسکی با تشریح جزئیات کمپین جدیدی که در ژوئن 2024 آغاز شد و حداقل تا آگوست ادامه داشت، گفت: «حملهکنندگان اکنون ترجیح میدهند از یک پروکسی برای پلتفرم MeshCentral قانونی به جای ماژول UltraVNC استفاده کنند، که قبلاً برای دسترسی از راه دور به سیستمها استفاده میکردند. .
شرکت امنیت سایبری روسیه گفت که این کمپین در درجه اول سازمان های دولتی روسیه، پیمانکاران و شرکت های صنعتی آنها را هدف قرار داده است.
Awaken Likho که با نامهای Core Werewolf و PseudoGamaredon نیز ردیابی میشود، برای اولین بار توسط BI.ZONE در ژوئن 2023 در ارتباط با حملات سایبری علیه بخشهای دفاعی و زیرساختهای حیاتی ثبت شد. اعتقاد بر این است که این گروه حداقل از اوت 2021 فعال بوده است.
حملات فیشینگ شامل توزیع فایل های اجرایی مخربی است که به صورت اسناد مایکروسافت ورد یا PDF با اختصاص پسوندهای دوگانه مانند “doc.exe”، “.docx.exe”، یا “.pdf.exe”، به طوری که فقط .docx نمایش داده شود. و بخشهای pdf. برنامه افزودنی برای کاربران قابل مشاهده است.
با این حال، باز کردن این فایلها برای نصب UltraVNC نشان داده شده است که به عوامل تهدید اجازه میدهد تا کنترل کامل میزبانهای در معرض خطر را در دست بگیرند.
بر اساس یافتههای FACCT در اوایل ماه مه، سایر حملات توسط Core Werewolf همچنین یک پایگاه نظامی روسیه در ارمنستان و همچنین یک موسسه تحقیقاتی روسی را که در توسعه سلاحها شرکت داشت، هدف قرار داد.
یکی از تغییرات قابل توجه مشاهده شده در این موارد مربوط به استفاده از آرشیو خود استخراج کننده (SFX) برای تسهیل نصب مخفی UltraVNC در حالی که یک سند فریب بی ضرر را به اهداف نمایش می دهد.
آخرین سری حملات کشف شده توسط کسپرسکی همچنین به یک فایل آرشیو SFX که با 7-Zip ایجاد شده است، متکی است که پس از باز شدن، فایلی به نام “MicrosoftStores.exe” راه اندازی می شود، که سپس یک اسکریپت AutoIt را از حالت فشرده خارج می کند تا در نهایت منبع باز را اجرا کند. ابزار مدیریت از راه دور MeshAgent.
کسپرسکی گفت: “این اقدامات به APT اجازه می دهد تا در سیستم باقی بماند: مهاجمان یک کار برنامه ریزی شده ایجاد می کنند که یک فایل دستوری را اجرا می کند، که به نوبه خود MeshAgent را برای برقراری ارتباط با سرور MeshCentral راه اندازی می کند.”
منبع: https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html