Изображение: recraft
Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESCTI) провели комплексное исследование активности APT-группировки Mythic Likho, атакующей субъекты критической информационной инфраструктуры России. Киберпреступники готовят уникальные фишинговые материалы для каждой жертвы, применяют собственные вредоносные программы и широкий спектр дополнительных инструментов. Для хранения и доставки вредоносного ПО группировка использует взломанные сайты российских компаний и поддельные ресурсы. Цель атак — зашифровать ценные данные и получить выкуп за восстановление доступа.
Mythic Likho разрабатывает сценарий атаки и фишинговый контент, опираясь на информацию о деятельности, географическом положении, партнерах и сотрудниках жертвы. Злоумышленники отправляют письма на корпоративные адреса электронной почты якобы от лица специалистов госучреждений, ритейл-компаний или СМИ. При этом первые сообщения не всегда содержат вредоносную ссылку: сначала киберпреступники устанавливают доверительные отношения с получателями. Для дальнейшего развития атаки Mythic Likho использует комбинацию из взломанных ресурсов реальных компаний и поддельных сайтов, стилизованных под сферу деятельности жертвы или замаскированных под легитимные сервисы и облачные хранилища.
Группировка применяет широкий набор инструментов: загрузчики[1] HuLoader и ReflectPulse, бэкдор[2] Loki собственной разработки, платные и свободно распространяемые вредоносные программы, а также десяток дополнительных программ. Для доставки ВПО злоумышленники используют поддельные официальные письма, договоры, товарные чеки, счета на оплату, фотографии, резюме, размещенные на взломанных или фишинговых ресурсах. Запустив бэкдор в сети жертвы, киберпреступники получают данные учетных записей, перемещаются внутри инфраструктуры, выводят ценные сведения, зашифровывают их в скомпрометированной системе и оставляют инструкцию, как вернуть доступ.
«Mythic Likho в качестве жертв выбирает крупные платежеспособные предприятия, прежде всего из сфер машиностроения, добывающей и обрабатывающей промышленности. Киберпреступники продумывают каждый шаг атаки, используют сложные цепочки доставки ВПО, совершенствуют свои программы и стабильно обеспечивают анонимность вредоносной инфраструктуры. Кроме того, в нескольких кампаниях злоумышленники использовали инструменты из личного арсенала группировки (Ex)Cobalt, активно атакующей российские организации. Вероятно, Mythic Likho состоит из профессионалов с большим опытом в проведении атак, обширными техническими знаниями и контактирует с киберпреступным сообществом», — рассказал Виктор Казаков, ведущий специалист группы киберразведки экспертного центра безопасности Positive Technologies.
По прогнозам экспертов, Mythic Likho еще долгое время будет представлять угрозу для критической информационной инфраструктуры России.
Оригинал публикации на сайте CISOCLUB: "Positive Technologies: российские субъекты КИИ вновь подверглись целевым атакам Mythic Likho".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.