В июле 2024 года эксперты «Лаборатории Касперского» обнаружили, что более десяти российских предприятий из различных сфер деятельности — от машиностроения до медицины — подверглись кибератакам с использованием ранее неизвестного бэкдора Loki. Как отметили эксперты, этот зловред был создан на основе часто используемого фреймворка с открытым исходным кодом Mythic.
Фреймворк Mythic был разработан как инструмент для удалённого управления в ходе имитации кибератак и оценки защищённости систем, но он может быть использован и во вредоносных целях. Злоумышленники всё чаще активно тестируют и применяют различные фреймворки для удалённого управления устройствами жертв, а также переделывают их под свои нужды. На этот раз киберпреступники разработали приватную версию агента, получившую название Loki. Помимо фреймворка с открытым исходным кодом в атаках применяются и другие общедоступные утилиты.
Эксперты предполагают, что в ряде случаев Loki попадает на компьютер жертвы через электронную почту, а затем невнимательный пользователь сам запускает его. Такой вывод они сделали в результате данных телеметрии и названий файлов, в которых был обнаружен зловред, например “смета_27.05.2024.exe“, “На_согласование_публикации_<предприятие> .rar”, “ПЕРЕЧЕНЬ_ДОКУМЕНТОВ.ISO”.
Как и многие другие бэкдоры, Loki умеет выполнять различные команды на заражённом устройстве. Злоумышленники могут скачать с него любой файл, а также загрузить и запустить любой вредоносный инструмент. В ряде случаев атаки с использованием подобных бэкдоров заканчивались не только утечкой конфиденциальных данных, но и полной потерей всех файлов, которые хранились в скомпрометированной системе.