近期,Kaspersky研究人员对APT组Awaken Likho(也称为Core Werewolf和PseudoGamaredon)的调查发现,从2024年6月到8月的一场新活动, Awaken Likho已经从UltraVNC切换到MeshCentral平台用于远程访问。该威胁攻击者继续瞄准俄罗斯政府机构和企业。
专家们检测到该组使用的一种新的植入体,病毒通过钓鱼邮件传递,以获取系统的远程控制权,从UltraVNC切换到MeshAgent。植入体通过恶意URL在钓鱼邮件中分发,而攻击者在之前的活动中使用了自提取档案和Golang下落程序。这一活动突出该组继续努力改进远程访问策略。
Awaken Likho在2024年9月观察使用了新的植入体,但是根据telemetry分析,攻击者在2024年8月开始使用病毒。现在,Awaken Likho组使用7-Zip自提取档案,显示假冒文档,同时秘密安装MeshAgent工具。攻击链包括SFX档案,unpacks AutoIt脚本,并执行“MicrosoftStores.exe”,然后启动MeshAgent工具。恶意代码保持持久性 bằng设置一个定时任务来运行MeshAgent,使得可以保持与MeshCentral服务器的连续连接。
报告中写道:“这脚本使用PowerShell来启动NetworkDrivers.exe(MeshAgent代理),与C2服务器进行交互。这些操作允许APT在系统中持久存在:攻击者创建一个定时任务,运行一个命令文件,该文件然后启动MeshAgent,以建立与MeshCentral服务器的连接。”
Awaken Likho组自俄乌冲突开始以来一直活跃,该APT已经适应了自己的方法,特别是从UltraVNC切换到MeshCentral进行远程访问。专家们相信该组仍然活跃,并正在使用新的植入体改进其操作。最新版本的恶意软件已经演进,缺少了之前的无载荷文件,表明其仍在发展。Awaken Likho预计将继续目标和渗透选择的基础设施。
原文始发于微信公众号(黑猫安全):Awaken Likho APT 集团以俄罗斯政府为目标推出新植入物
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论