Эксперты «Лаборатории Касперского» обнаружили кампанию с использованием ранее неизвестной модификации бэкдора Merlin, а также новой версии зловреда Loki. Обе вредоносных программы созданы для работы с фреймворком с открытым исходным кодом Mythic. С атаками столкнулись более десятка российских организаций из разных отраслей — от телекоммуникаций до промышленности. Цели злоумышленников точно не ясны: предположительно, они стремятся украсть конфиденциальные данные.
Ловля на живца. Для распространения бэкдоров используется классический метод — фишинг, но тексты могут быть разными. Например, одно из писем было адресовано отделу кадров машиностроительного завода. Его авторы просили дать характеристику на бывшего сотрудника, который сейчас якобы устраивается на ответственную должность в их компании. В подобных письмах, по всей видимости, содержатся вредоносные ссылки для скачивания архива с «резюме» кандидата. Если пользователь откроет документ-приманку, начнётся загрузка бэкдора Merlin.
Новый зловред. Merlin — это постэксплуатационный инструмент с открытым исходным кодом. Он написан на языке Go и может быть адаптирован под разные операционные системы: Windows, Linux и macOS. Также он поддерживает протоколы HTTP/1.1, HTTP/2 и HTTP/3. После запуска бэкдор связывается с сервером злоумышленников и отправляет им данные о системе: IP-адрес, версию операционной системы, имя хоста и имя пользователя, архитектуру процессора, информацию о процессе, в котором запущен Merlin.
Связь с Loki. Один из экземпляров Merlin загружал в систему жертвы новую версию бэкдора Loki. Зловред, как и в первой версии, отправляет разные данные о системе и своей сборке: идентификатор агента, внутренний IP-адрес, версию операционной системы, название компьютера, путь к файлу агента, только теперь к этому списку добавилось поле с именем пользователя.
И Merlin, и Loki созданы для работы с фреймворком Mythic. Этот инструмент был разработан для удалённого управления устройствами в ходе имитации кибератак и оценки уровня защищённости систем. Однако он может быть использован и во вредоносных целях. Фреймворк Mythic позволяет создавать агенты на любом языке под любую платформу с необходимой разработчику функциональностью, чем и пользуются злоумышленники. Собранной информации пока недостаточно, чтобы отнести атаки с использованием Merlin и Loki к какой-либо группе. Поэтому кампания получила отдельное название — Mythic Likho.
«Характерная особенность группы Mythic Likho — использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов: хотя зловреды распространяются через письма, их содержание может меняться, как и последующая цепочка заражения. Подобная гибкость повышает шанс атакующих на успех. Поэтому организациям необходимо уделять повышенное внимание информационной безопасности и использовать надёжные защитные решения», — комментирует Артём Ушков, исследователь угроз в «Лаборатории Касперского».
Чтобы противостоять подобным атакам, «Лаборатория Касперского» рекомендует организациям:
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
- обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- предоставлять ИБ-специалистам возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intellegence;
- использовать комплексное решение, обеспечивающее непрерывную защиту корпоративных ресурсов в условиях меняющегося ландшафта киберугроз, например Kaspersky Symphony. Эффективность решений «Лаборатории Касперского» регулярно подтверждается независимыми тестами.
