Сначала дружим, потом шифруем. Как Mythic Likho втирается в доверие к российским корпорациям
NewsMakerЭксперты Positive Technologies изучили тактику новых киберпреступников.
APT-группировка Mythic Likho продолжает атаковать субъекты критической информационной инфраструктуры России и делает ставку на тщательно подготовленный фишинг, собственные вредоносные разработки и сотрудничество с другими игроками киберпреступной среды. К такому выводу пришли специалисты департамента киберразведки экспертного центра безопасности Positive Technologies, которые изучили кампании группировки и используемую инфраструктуру.
Mythic Likho подстраивает сценарий атаки под конкретную организацию. Злоумышленники собирают сведения о сфере деятельности компании, географии, партнерах и сотрудниках, после чего готовят правдоподобные письма для корпоративной почты. В переписке киберпреступники нередко выдают себя за представителей госучреждений, ритейла или СМИ. Первая волна контактов иногда обходится без вредоносных ссылок: переписка помогает сформировать доверие и повысить шанс, что получатель откроет вложение или перейдет по адресу на следующем этапе.
Для доставки и хранения вредоносного ПО Mythic Likho использует взломанные сайты российских компаний и фишинговые ресурсы, стилизованные под профиль жертвы или замаскированные под легитимные сервисы и облачные хранилища. В качестве приманок выступают поддельные «официальные» письма, договоры, товарные чеки, счета, фотографии и резюме, размещенные на таких площадках. В исследовании отмечается широкий набор инструментов, включая загрузчики HuLoader и ReflectPulse, бэкдор Loki собственной разработки, а также платные и публично доступные вредоносные программы и дополнительный софт для развития атаки.
После закрепления в сети с помощью бэкдора киберпреступники получают учетные данные, перемещаются внутри инфраструктуры, выводят ценные сведения, затем шифруют данные в скомпрометированной системе и оставляют инструкцию по восстановлению доступа за выкуп. По оценке экспертов, жертвами Mythic Likho чаще становятся крупные предприятия из машиностроения, добывающей и обрабатывающей промышленности. Отдельно упоминается использование в нескольких кампаниях инструментов из арсенала группировки (Ex)Cobalt, что может указывать на обмен наработками и контакты внутри киберпреступного сообщества. Один из экспертов по киберразведке отметил, что злоумышленники продумывают каждый шаг, выстраивают сложные цепочки доставки ВПО, постоянно дорабатывают инструменты и поддерживают анонимность вредоносной инфраструктуры.
Positive Technologies ожидает, что угроза со стороны Mythic Likho сохранится надолго, и советует усиливать защиту в нескольких направлениях: проверять почтовые вложения в изолированной среде, поддерживать киберустойчивость промышленных сегментов, держать в актуальном состоянии антивирусную защиту конечных устройств, а также применять средства обнаружения и реагирования на сложные атаки. Дополнительно рекомендуется регулярно искать уязвимости, отслеживать сетевые признаки активности вредоносного ПО и использовать данные киберразведки для упреждающего усиления защитных мер.
APT-группировка Mythic Likho продолжает атаковать субъекты критической информационной инфраструктуры России и делает ставку на тщательно подготовленный фишинг, собственные вредоносные разработки и сотрудничество с другими игроками киберпреступной среды. К такому выводу пришли специалисты департамента киберразведки экспертного центра безопасности Positive Technologies, которые изучили кампании группировки и используемую инфраструктуру.
Mythic Likho подстраивает сценарий атаки под конкретную организацию. Злоумышленники собирают сведения о сфере деятельности компании, географии, партнерах и сотрудниках, после чего готовят правдоподобные письма для корпоративной почты. В переписке киберпреступники нередко выдают себя за представителей госучреждений, ритейла или СМИ. Первая волна контактов иногда обходится без вредоносных ссылок: переписка помогает сформировать доверие и повысить шанс, что получатель откроет вложение или перейдет по адресу на следующем этапе.
Для доставки и хранения вредоносного ПО Mythic Likho использует взломанные сайты российских компаний и фишинговые ресурсы, стилизованные под профиль жертвы или замаскированные под легитимные сервисы и облачные хранилища. В качестве приманок выступают поддельные «официальные» письма, договоры, товарные чеки, счета, фотографии и резюме, размещенные на таких площадках. В исследовании отмечается широкий набор инструментов, включая загрузчики HuLoader и ReflectPulse, бэкдор Loki собственной разработки, а также платные и публично доступные вредоносные программы и дополнительный софт для развития атаки.
После закрепления в сети с помощью бэкдора киберпреступники получают учетные данные, перемещаются внутри инфраструктуры, выводят ценные сведения, затем шифруют данные в скомпрометированной системе и оставляют инструкцию по восстановлению доступа за выкуп. По оценке экспертов, жертвами Mythic Likho чаще становятся крупные предприятия из машиностроения, добывающей и обрабатывающей промышленности. Отдельно упоминается использование в нескольких кампаниях инструментов из арсенала группировки (Ex)Cobalt, что может указывать на обмен наработками и контакты внутри киберпреступного сообщества. Один из экспертов по киберразведке отметил, что злоумышленники продумывают каждый шаг, выстраивают сложные цепочки доставки ВПО, постоянно дорабатывают инструменты и поддерживают анонимность вредоносной инфраструктуры.
Positive Technologies ожидает, что угроза со стороны Mythic Likho сохранится надолго, и советует усиливать защиту в нескольких направлениях: проверять почтовые вложения в изолированной среде, поддерживать киберустойчивость промышленных сегментов, держать в актуальном состоянии антивирусную защиту конечных устройств, а также применять средства обнаружения и реагирования на сложные атаки. Дополнительно рекомендуется регулярно искать уязвимости, отслеживать сетевые признаки активности вредоносного ПО и использовать данные киберразведки для упреждающего усиления защитных мер.