Agências governamentais e entidades industriais russas são alvo de um conjunto de atividades contínuas denominado Awaken Likho.
"Os atacantes agora preferem usar o agente para a plataforma legítima MeshCentral em vez do módulo UltraVNC, que anteriormente utilizavam para obter acesso remoto aos sistemas", disse a Kaspersky, detalhando uma nova campanha que começou em junho de 2024 e continuou pelo menos até agosto.
A empresa russa de cibersegurança afirmou que a campanha visava principalmente agências governamentais russas, seus contratados e empresas industriais.
Awaken Likho, também rastreado como Core Werewolf e PseudoGamaredon, foi documentado pela primeira vez pela BI.ZONE em junho de 2023, em conexão com ataques cibernéticos direcionados aos setores de defesa e infraestrutura crítica.
Acredita-se que o grupo esteja ativo desde pelo menos agosto de 2021.
Os ataques de spear-phishing envolvem a distribuição de executáveis maliciosos disfarçados de documentos do Microsoft Word ou PDF, atribuindo-lhes extensões duplas como "doc.exe", ".docx.exe" ou ".pdf.exe", de modo que apenas as partes .docx e .pdf da extensão apareçam para os usuários.
No entanto, abrir esses arquivos foi encontrado para acionar a instalação do UltraVNC, permitindo assim que os agentes de ameaças ganhem controle completo dos hosts comprometidos.
Outros ataques realizados pelo Core Werewolf também visaram uma base militar russa na Armênia, bem como um instituto de pesquisa russo envolvido no desenvolvimento de armas, conforme descobertas da F.A.C.C.T. em maio deste ano.
Uma mudança notável observada nessas instâncias diz respeito ao uso de um arquivo de arquivo autoextraível (SFX) para facilitar a instalação oculta do UltraVNC enquanto exibe um documento isca inofensivo para os alvos.
A cadeia de ataques mais recente descoberta pela Kaspersky também se baseia em um arquivo de arquivo SFX criado usando o 7-Zip que, quando aberto, aciona a execução de um arquivo chamado "MicrosoftStores.exe", que então descompacta um script AutoIt para, finalmente, executar a ferramenta de gestão remota de código aberto MeshAgent.
"Essas ações permitem que o APT persista no sistema: os atacantes criam uma tarefa agendada que executa um arquivo de comando, que, por sua vez, lança o MeshAgent para estabelecer uma conexão com o servidor MeshCentral", disse a Kaspersky.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...