Telegram Group & Telegram Channel
Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.

Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.

Предполагаемая цель злоумышленников - кибершпионаж.

Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.

Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.

Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.

По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.

Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.

После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.

Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.

Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.

Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.

Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.

На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.

Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.

Технические подробности и IoC - в отчете.



group-telegram.com/true_secator/6731
Create:
Last Update:

Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.

Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.

Предполагаемая цель злоумышленников - кибершпионаж.

Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.

Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.

Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.

По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.

Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.

После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.

Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.

Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.

Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.

Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.

На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.

Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.

Технические подробности и IoC - в отчете.

BY SecAtor




Share with your friend now:
group-telegram.com/true_secator/6731

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

"Russians are really disconnected from the reality of what happening to their country," Andrey said. "So Telegram has become essential for understanding what's going on to the Russian-speaking world." Messages are not fully encrypted by default. That means the company could, in theory, access the content of the messages, or be forced to hand over the data at the request of a government. But Kliuchnikov, the Ukranian now in France, said he will use Signal or WhatsApp for sensitive conversations, but questions around privacy on Telegram do not give him pause when it comes to sharing information about the war. In addition, Telegram now supports the use of third-party streaming tools like OBS Studio and XSplit to broadcast live video, allowing users to add overlays and multi-screen layouts for a more professional look. The picture was mixed overseas. Hong Kong’s Hang Seng Index fell 1.6%, under pressure from U.S. regulatory scrutiny on New York-listed Chinese companies. Stocks were more buoyant in Europe, where Frankfurt’s DAX surged 1.4%.
from ms


Telegram SecAtor
FROM American