近日，俄羅斯政府機(jī)構(gòu)和工業(yè)實體遭遇了一場名為“ Awaken Likho ”的網(wǎng)絡(luò)活動攻擊活動。 卡巴斯基表示，攻擊者現(xiàn)在更傾向于使用合法MeshCentral平臺的代理，而不是他們之前用來獲得系統(tǒng)遠(yuǎn)程訪問權(quán)限的UltraVNC模塊。這家俄羅斯網(wǎng)絡(luò)安全公司詳細(xì)說明了一場始于2024年6月并至少持續(xù)到8月的新活動。該活動主要針對俄羅斯政府機(jī)構(gòu)、其承包商和工業(yè)企業(yè)。

“ Awaken Likho ”組織，亦稱作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌針對國防和關(guān)鍵基礎(chǔ)設(shè)施部門發(fā)動網(wǎng)絡(luò)攻擊。據(jù)悉，該組織的活動可追溯至2021年8月。其采用的魚叉式釣魚攻擊手法包括發(fā)送偽裝成Word或PDF文檔的惡意可執(zhí)行文件，這些文件帶有雙重擴(kuò)展名，如“doc.exe”或“.pdf.exe”，使用戶僅能看到看似無害的.docx或.pdf后綴。

然而，一旦受害者打開這些文件，便會觸發(fā)UltraVNC的安裝程序，進(jìn)而導(dǎo)致攻擊者能夠完全接管受害者的計算機(jī)系統(tǒng)。此外，根據(jù)F.A.C.C.T.今年5月的報告，Core Werewolf還針對位于亞美尼亞的一個俄羅斯軍事基地以及一家從事武器研究的俄羅斯研究所發(fā)動了攻擊。在這些攻擊中，攻擊者使用了一種自解壓存檔（SFX）技術(shù)，以隱蔽的方式安裝UltraVNC，同時向受害者展示看似無害的誘餌文檔。

卡巴斯基最新揭露的攻擊鏈條中，攻擊者利用7-Zip創(chuàng)建了一個SFX存檔文件。當(dāng)受害者打開該文件時，會執(zhí)行一個名為“MicrosoftStores.exe”的程序，進(jìn)而解壓并運行一個AutoIt腳本，最終激活開源的MeshAgent遠(yuǎn)程管理工具?？ò退够忉尫Q，這一系列操作使得攻擊者能夠在受害者的系統(tǒng)中長期潛伏，并通過計劃任務(wù)定時執(zhí)行命令文件，以此來啟動MeshAgent并與MeshCentral服務(wù)器建立連接。

據(jù)安全專家分析，“ Awaken Likho ”團(tuán)伙使用了定制化的惡意軟件和零日漏洞利用，以實現(xiàn)對目標(biāo)系統(tǒng)的深度滲透。此外，他們還運用了復(fù)雜的網(wǎng)絡(luò)釣魚和社會工程學(xué)技巧，誘導(dǎo)目標(biāo)用戶點擊惡意鏈接或下載病毒文件。

值得注意的是，該團(tuán)伙的攻擊目標(biāo)主要集中在俄羅斯政府的敏感部門和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。這些攻擊不僅可能導(dǎo)致政府機(jī)密的泄露，還可能對國家安全和社會穩(wěn)定造成嚴(yán)重影響。

為了應(yīng)對這一威脅，俄羅斯政府已經(jīng)加強(qiáng)了對網(wǎng)絡(luò)安全的投入，并提升了相關(guān)機(jī)構(gòu)的防御能力。同時，國際間的網(wǎng)絡(luò)安全合作也在不斷加強(qiáng)，以共同應(yīng)對跨國網(wǎng)絡(luò)攻擊的挑戰(zhàn)。

專家建議，政府機(jī)構(gòu)和個人用戶都應(yīng)提高網(wǎng)絡(luò)安全意識，定期更新系統(tǒng)和軟件補(bǔ)丁，避免點擊不明鏈接或下載來源不明的文件。此外，加強(qiáng)數(shù)據(jù)備份和恢復(fù)策略也是防范網(wǎng)絡(luò)攻擊的重要措施。

參考來源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html