Angry Likho: Новая угроза кибербезопасности для России
Источник: securelist.com
В 2023 году мир кибербезопасности начал следить за деятельностью группы APT, известной как Angry Likho или Sticky Werewolf. Эта группа связана с другой группой в рамках вредоносной деятельности — Awaken Likho — и сосредотачивается на целенаправленных атаках на сотрудников крупных организаций, включая государственные учреждения и их подрядчиков, преимущественно в России и Беларуси.
Методы атаки
Angry Likho применяет множество тактик, но основной подход заключается в использовании методов фишинга. Злоумышленники отправляют электронные письма с вредоносными вложениями и часто маскируют их под приглашения на видеоконференции. Одним из примеров является использование вредоносного архива RAR, содержащего файлы LNK и легитимный документ-приманку, который полностью соответствует содержанию письма.
Имплантаты и вредоносные полезные нагрузки
Среди известных имплантатов, связанных с Angry Likho, выделяется FrameworkSurvivor.exe. Этот имплантат использует метод самораспаковывающегося архива и систему установки Nullsoft Scriptable Install System. Важная особенность данного имплантата заключается в использовании сценария установки, запускающего легитимный интерпретатор AutoIt, благодаря чему основная вредоносная логика скрыта в скомпилированном сценарии AU3.
Скрипт AU3 разрабатывается с целью избегать обнаружения, проверяя индикаторы виртуальных сред, что указывает на высокий уровень понимания угрозы со стороны злоумышленников. При обнаружении таких индикаторов выполнение скрипта может быть остановлено или отложено, что свидетельствует о глубоком знании характеристик исследовательских настроек.
Масштабы операций и последствия
Дальнейший анализ показал, что AU3 в конечном итоге вводит вредоносную полезную нагрузку в процесс AutoIt. Изучение данной полезной нагрузки выявило использование трояна-похитителя Lumma, способного собирать конфиденциальную информацию:
- сохранённые в браузере учётные данные;
- файлы cookie;
- финансовую информацию из различных веб-браузеров и криптовалютных кошельков.
Группа использует несколько командных серверов, что позволяет идентифицировать более 60 вредоносных имплантатов. На начало 2025 года наблюдается всплеск активности Angry Likho, что несомненно связано с ожидаемыми новыми волнами атак. Основные цели злоумышленников остаются неизменными: кража конфиденциальных данных и поддержание контроля над скомпрометированными системами.
Заключение
Мониторинг телеметрических данных показывает сотни жертв среди российских компаний. Документы-приманки, специально разработанные для правительства, подтверждают целенаправленность атак. Учитывая сходство инфраструктуры, дизайна имплантатов и методов обфускации, есть высокая степень уверенности в том, что операции проводятся именно группой Angry Likho.
Такой настойчивый подход к использованию фишинга подчеркивает необходимость укрепления систем безопасности организаций с помощью надежных средств обнаружения угроз и упреждающего реагирования на инциденты, чтобы справиться с постоянными угрозами, которые представляют группы, подобные Angry Likho.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
