威胁组织Awaken Likho利用先进工具攻击俄罗斯政府

“Awaken Likho”APT组织针对俄罗斯政府机构和工业实体。卡巴斯基的一份报告详细介绍了一项从 2024 年 6 月开始并至少持续到 8 月的新攻击活动。

卡巴斯基表示：“攻击者现在更喜欢使用合法 MeshCentral 平台的代理，而不是之前用来远程访问系统的 UltraVNC 模块。”

此次攻击活动主要针对俄罗斯政府机构、政府承包商和工业企业。

Awaken Likho 也被称为 Core Werewolf 和 PseudoGamaredon，于 2023 年 6 月首次被 BI.ZONE 记录，与针对国防和关键基础设施部门的网络攻击有关。据信该组织至少自 2021 年 8 月起就一直活跃。

鱼叉式网络钓鱼攻击涉及分发伪装成 Microsoft Word 或 PDF 文档的恶意可执行文件，通过为它们分配双重扩展名，如“doc.exe”、“docx.exe”或“pdf.exe”，以便只有扩展名的 .docx 和 .pdf 部分显示给用户。

打开这些文件会触发 UltraVNC 的安装，从而使威胁组织能够完全控制受感染的主机。

根据FACCT 今年 5 月初的调查结果， Core Werewolf 发起的其他攻击还针对了亚美尼亚的一个俄罗斯军事基地以及一家从事武器研发的俄罗斯研究机构。

在这些情况下观察到的一个显著变化涉及使用自解压档案 (SFX) 来促进 UltraVNC 的秘密安装，同时向目标显示无害的诱饵文档。

卡巴斯基发现的最新攻击链还依赖于使用 7-Zip 创建的 SFX 存档文件，该文件在打开时会触发名为“MicrosoftStores.exe”的文件执行，然后该文件会解压 AutoIt 脚本，最终运行开源MeshAgent远程管理工具。

卡巴斯基表示：“这些操作使 APT 组织能够在系统中持续存在，攻击者创建一个运行命令文件的计划任务，然后启动 MeshAgent 与 MeshCentral 服务器建立连接。”

详细技术报告：https://securelist.com/awaken-likho-apt-new-implant-campaign/114101/

链接：

https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html

讲述普通人能听懂的安全故事