Целью злоумышленников остаются криптокошельки и учётные данные сотрудников крупных компаний из России и Беларуси
По данным «Лаборатории Касперского», кибергруппа Angry Likho готовит новую волну целевых атак как минимум с 16 января 2025 года. Эксперты компании обнаружили новые вредоносные файлы, которые позволяют украсть конфиденциальные данные при помощи стилеров и установить полный контроль над заражённым устройством за счёт вредоносных утилит удалённого администрирования. Главные цели злоумышленников находятся в России и Беларуси, это сотрудники крупных корпораций: государственных организаций и их подрядчиков.
По данным телеметрии «Лаборатории Касперского», Angry Likho проводит кампании как минимум с 2023 года. Кибергруппа делает это с определённой периодичностью, на некоторое время приостанавливая деятельность, после чего возобновляет её, незначительно меняя техники. В рамках новой кампании эксперты «Лаборатории Касперского» обнаружили несколько десятков вредоносных имплантов, а также дополнительные командные серверы злоумышленников.
Как начинается атака. Злоумышленники рассылают фишинговые письма с самораспаковывающимися вредоносными архивами, созданные специально под конкретных пользователей. Большинство архивов имеют русскоязычные названия и содержат файлы-приманки на русском, тематически связанные преимущественно с российскими государственными учреждениями.
Что происходит после заражения. Если жертва открывает вложение, на устройстве оказывается троянец-стилер Lumma. Он собирает большие объёмы данных с заражённого устройства — от банковских реквизитов из браузеров до файлов криптокошельков, в том числе информацию о системе и установленных программах, а также файлы cookie, имена пользователей и их пароли, номера банковских карт и сведения из журнала подключений.
«Кибергруппа Angry Likho использует доступные вредоносные утилиты, которые можно приобрести на специализированных форумах в даркнете, а самостоятельно проделывает лишь малую часть работы: пишет компоненты механизма доставки зловреда на устройство жертвы и проводит целевую рассылку имплантов. Приёмы, которые применяют злоумышленники, модифицируются незначительно, но им удаётся достигать своих целей. Мы продолжаем наблюдать за этой угрозой и проактивно защищать от неё», — комментирует Алексей Шульмин, эксперт по кибербезопасности «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют вредоносное ПО следующими вердиктами: HEUR:Trojan.MSIL.Agent.pef, HEUR:Trojan.Win32.Generic.
Для защиты от сложных целевых атак «Лаборатория Касперского» рекомендует:
- использовать комплексное решение, такое как Kaspersky Symphony XDR, для всесторонней защиты организации;
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- использовать сервисы информирования об угрозах, например Kaspersky Threat Intelligence — комплекс с единой точкой доступа к данным и аналитике, собранным «Лабораторией Касперского» за более чем 25 лет.
