Awaken Likho惡意組織利用高級(jí)網(wǎng)絡(luò)工具對(duì)俄羅斯政府發(fā)起“猛攻”
近日,俄羅斯政府機(jī)構(gòu)和工業(yè)實(shí)體遭遇了一場(chǎng)名為“ Awaken Likho ”的網(wǎng)絡(luò)活動(dòng)攻擊活動(dòng)。 卡巴斯基表示,攻擊者現(xiàn)在更傾向于使用合法MeshCentral平臺(tái)的代理,而不是他們之前用來(lái)獲得系統(tǒng)遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限的UltraVNC模塊。這家俄羅斯網(wǎng)絡(luò)安全公司詳細(xì)說(shuō)明了一場(chǎng)始于2024年6月并至少持續(xù)到8月的新活動(dòng)。該活動(dòng)主要針對(duì)俄羅斯政府機(jī)構(gòu)、其承包商和工業(yè)企業(yè)。
“ Awaken Likho ”組織,亦稱(chēng)作Core Werewolf或PseudoGamaredon,最初由BI.ZONE于2023年6月曝光,涉嫌針對(duì)國(guó)防和關(guān)鍵基礎(chǔ)設(shè)施部門(mén)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。據(jù)悉,該組織的活動(dòng)可追溯至2021年8月。其采用的魚(yú)叉式釣魚(yú)攻擊手法包括發(fā)送偽裝成Word或PDF文檔的惡意可執(zhí)行文件,這些文件帶有雙重?cái)U(kuò)展名,如“doc.exe”或“.pdf.exe”,使用戶(hù)僅能看到看似無(wú)害的.docx或.pdf后綴。
然而,一旦受害者打開(kāi)這些文件,便會(huì)觸發(fā)UltraVNC的安裝程序,進(jìn)而導(dǎo)致攻擊者能夠完全接管受害者的計(jì)算機(jī)系統(tǒng)。此外,根據(jù)F.A.C.C.T.今年5月的報(bào)告,Core Werewolf還針對(duì)位于亞美尼亞的一個(gè)俄羅斯軍事基地以及一家從事武器研究的俄羅斯研究所發(fā)動(dòng)了攻擊。在這些攻擊中,攻擊者使用了一種自解壓存檔(SFX)技術(shù),以隱蔽的方式安裝UltraVNC,同時(shí)向受害者展示看似無(wú)害的誘餌文檔。
卡巴斯基最新揭露的攻擊鏈條中,攻擊者利用7-Zip創(chuàng)建了一個(gè)SFX存檔文件。當(dāng)受害者打開(kāi)該文件時(shí),會(huì)執(zhí)行一個(gè)名為“MicrosoftStores.exe”的程序,進(jìn)而解壓并運(yùn)行一個(gè)AutoIt腳本,最終激活開(kāi)源的MeshAgent遠(yuǎn)程管理工具。卡巴斯基解釋稱(chēng),這一系列操作使得攻擊者能夠在受害者的系統(tǒng)中長(zhǎng)期潛伏,并通過(guò)計(jì)劃任務(wù)定時(shí)執(zhí)行命令文件,以此來(lái)啟動(dòng)MeshAgent并與MeshCentral服務(wù)器建立連接。
據(jù)安全專(zhuān)家分析,“ Awaken Likho ”團(tuán)伙使用了定制化的惡意軟件和零日漏洞利用,以實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的深度滲透。此外,他們還運(yùn)用了復(fù)雜的網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程學(xué)技巧,誘導(dǎo)目標(biāo)用戶(hù)點(diǎn)擊惡意鏈接或下載病毒文件。
值得注意的是,該團(tuán)伙的攻擊目標(biāo)主要集中在俄羅斯政府的敏感部門(mén)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。這些攻擊不僅可能導(dǎo)致政府機(jī)密的泄露,還可能對(duì)國(guó)家安全和社會(huì)穩(wěn)定造成嚴(yán)重影響。
為了應(yīng)對(duì)這一威脅,俄羅斯政府已經(jīng)加強(qiáng)了對(duì)網(wǎng)絡(luò)安全的投入,并提升了相關(guān)機(jī)構(gòu)的防御能力。同時(shí),國(guó)際間的網(wǎng)絡(luò)安全合作也在不斷加強(qiáng),以共同應(yīng)對(duì)跨國(guó)網(wǎng)絡(luò)攻擊的挑戰(zhàn)。
專(zhuān)家建議,政府機(jī)構(gòu)和個(gè)人用戶(hù)都應(yīng)提高網(wǎng)絡(luò)安全意識(shí),定期更新系統(tǒng)和軟件補(bǔ)丁,避免點(diǎn)擊不明鏈接或下載來(lái)源不明的文件。此外,加強(qiáng)數(shù)據(jù)備份和恢復(fù)策略也是防范網(wǎng)絡(luò)攻擊的重要措施。
參考來(lái)源:https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html
