گروه حمله سایبری Awaken Likho دولت روسیه را با ابزارهای پیشرفته هدف قرار می دهد

Russian Government with Advanced Tools

08 اکتبر 2024راوی لاکشمانانتهدید سایبری / حمله APT

دولت روسیه با ابزارهای پیشرفته

سازمان‌های دولتی و نهادهای صنعتی روسیه هدف فعالیت‌های مستمری هستند که نام‌گذاری شده‌اند لخو بیدار شو.

کسپرسکی با تشریح جزئیات کمپین جدیدی که در ژوئن 2024 آغاز شد و حداقل تا آگوست ادامه داشت، گفت: «حمله‌کنندگان اکنون ترجیح می‌دهند از یک پروکسی برای پلتفرم MeshCentral قانونی به جای ماژول UltraVNC استفاده کنند، که قبلاً برای دسترسی از راه دور به سیستم‌ها استفاده می‌کردند. .

شرکت امنیت سایبری روسیه گفت که این کمپین در درجه اول سازمان های دولتی روسیه، پیمانکاران و شرکت های صنعتی آنها را هدف قرار داده است.

امنیت سایبری

Awaken Likho که با نام‌های Core Werewolf و PseudoGamaredon نیز ردیابی می‌شود، برای اولین بار توسط BI.ZONE در ژوئن 2023 در ارتباط با حملات سایبری علیه بخش‌های دفاعی و زیرساخت‌های حیاتی ثبت شد. اعتقاد بر این است که این گروه حداقل از اوت 2021 فعال بوده است.

حملات فیشینگ شامل توزیع فایل های اجرایی مخربی است که به صورت اسناد مایکروسافت ورد یا PDF با اختصاص پسوندهای دوگانه مانند “doc.exe”، “.docx.exe”، یا “.pdf.exe”، به طوری که فقط .docx نمایش داده شود. و بخش‌های pdf. برنامه افزودنی برای کاربران قابل مشاهده است.

با این حال، باز کردن این فایل‌ها برای نصب UltraVNC نشان داده شده است که به عوامل تهدید اجازه می‌دهد تا کنترل کامل میزبان‌های در معرض خطر را در دست بگیرند.

بر اساس یافته‌های FACCT در اوایل ماه مه، سایر حملات توسط Core Werewolf همچنین یک پایگاه نظامی روسیه در ارمنستان و همچنین یک موسسه تحقیقاتی روسی را که در توسعه سلاح‌ها شرکت داشت، هدف قرار داد.

یکی از تغییرات قابل توجه مشاهده شده در این موارد مربوط به استفاده از آرشیو خود استخراج کننده (SFX) برای تسهیل نصب مخفی UltraVNC در حالی که یک سند فریب بی ضرر را به اهداف نمایش می دهد.

امنیت سایبری

آخرین سری حملات کشف شده توسط کسپرسکی همچنین به یک فایل آرشیو SFX که با 7-Zip ایجاد شده است، متکی است که پس از باز شدن، فایلی به نام “MicrosoftStores.exe” راه اندازی می شود، که سپس یک اسکریپت AutoIt را از حالت فشرده خارج می کند تا در نهایت منبع باز را اجرا کند. ابزار مدیریت از راه دور MeshAgent.

کسپرسکی گفت: “این اقدامات به APT اجازه می دهد تا در سیستم باقی بماند: مهاجمان یک کار برنامه ریزی شده ایجاد می کنند که یک فایل دستوری را اجرا می کند، که به نوبه خود MeshAgent را برای برقراری ارتباط با سرور MeshCentral راه اندازی می کند.”

این مقاله جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html