近日，俄羅斯政府機(jī)構(gòu)和工業(yè)實(shí)體遭遇了一場名為“ Awaken Likho ”的網(wǎng)絡(luò)活動(dòng)攻擊活動(dòng)。 卡巴斯基表示，攻擊者現(xiàn)在更傾向于使用合法MeshCentral平臺(tái)的代理，而不是他們之前用來獲得系統(tǒng)遠(yuǎn)程訪問權(quán)限的UltraVNC模塊。這家俄羅斯網(wǎng)絡(luò)安全公司詳細(xì)說明了一場始于2024年6月并至少持續(xù)到8月的新活動(dòng)。該活動(dòng)主要針對(duì)俄羅斯政府機(jī)構(gòu)、其承包商和工業(yè)企業(yè)。

“ Awaken Likho ”組織，亦稱作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌針對(duì)國防和關(guān)鍵基礎(chǔ)設(shè)施部門發(fā)動(dòng)網(wǎng)絡(luò)攻擊。據(jù)悉，該組織的活動(dòng)可追溯至2021年8月。其采用的魚叉式釣魚攻擊手法包括發(fā)送偽裝成Word或PDF文檔的惡意可執(zhí)行文件，這些文件帶有雙重?cái)U(kuò)展名，如“doc.exe”或“.pdf.exe”，使用戶僅能看到看似無害的.docx或.pdf后綴。

然而，一旦受害者打開這些文件，便會(huì)觸發(fā)UltraVNC的安裝程序，進(jìn)而導(dǎo)致攻擊者能夠完全接管受害者的計(jì)算機(jī)系統(tǒng)。此外，根據(jù)F.A.C.C.T.今年5月的報(bào)告，Core Werewolf還針對(duì)位于亞美尼亞的一個(gè)俄羅斯軍事基地以及一家從事武器研究的俄羅斯研究所發(fā)動(dòng)了攻擊。在這些攻擊中，攻擊者使用了一種自解壓存檔（SFX）技術(shù)，以隱蔽的方式安裝UltraVNC，同時(shí)向受害者展示看似無害的誘餌文檔。

卡巴斯基最新揭露的攻擊鏈條中，攻擊者利用7-Zip創(chuàng)建了一個(gè)SFX存檔文件。當(dāng)受害者打開該文件時(shí)，會(huì)執(zhí)行一個(gè)名為“MicrosoftStores.exe”的程序，進(jìn)而解壓并運(yùn)行一個(gè)AutoIt腳本，最終激活開源的MeshAgent遠(yuǎn)程管理工具。卡巴斯基解釋稱，這一系列操作使得攻擊者能夠在受害者的系統(tǒng)中長期潛伏，并通過計(jì)劃任務(wù)定時(shí)執(zhí)行命令文件，以此來啟動(dòng)MeshAgent并與MeshCentral服務(wù)器建立連接。

據(jù)安全專家分析，“ Awaken Likho ”團(tuán)伙使用了定制化的惡意軟件和零日漏洞利用，以實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的深度滲透。此外，他們還運(yùn)用了復(fù)雜的網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)技巧，誘導(dǎo)目標(biāo)用戶點(diǎn)擊惡意鏈接或下載病毒文件。

值得注意的是，該團(tuán)伙的攻擊目標(biāo)主要集中在俄羅斯政府的敏感部門和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。這些攻擊不僅可能導(dǎo)致政府機(jī)密的泄露，還可能對(duì)國家安全和社會(huì)穩(wěn)定造成嚴(yán)重影響。

為了應(yīng)對(duì)這一威脅，俄羅斯政府已經(jīng)加強(qiáng)了對(duì)網(wǎng)絡(luò)安全的投入，并提升了相關(guān)機(jī)構(gòu)的防御能力。同時(shí)，國際間的網(wǎng)絡(luò)安全合作也在不斷加強(qiáng)，以共同應(yīng)對(duì)跨國網(wǎng)絡(luò)攻擊的挑戰(zhàn)。

專家建議，政府機(jī)構(gòu)和個(gè)人用戶都應(yīng)提高網(wǎng)絡(luò)安全意識(shí)，定期更新系統(tǒng)和軟件補(bǔ)丁，避免點(diǎn)擊不明鏈接或下載來源不明的文件。此外，加強(qiáng)數(shù)據(jù)備份和恢復(fù)策略也是防范網(wǎng)絡(luò)攻擊的重要措施。

參考來源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html