СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
13.02.2025
#Dev#ИБ#Инфра

«Лаборатория Касперского» предупредила, что российские организации атакует новая версия бэкдора Merlin

Лаборатория Касперского предупредила, что российские организации атакует новая версия бэкдора Merlin

изображение: recraft

Специалисты «Лаборатории Касперского» зафиксировали активность злоумышленников, применяющих неизвестную ранее версию бэкдора Merlin и обновлённый вариант вредоносного софта Loki. Эти программы созданы для работы с открытым фреймворком Mythic.

По информации экспертов, атаки затронули свыше десятка компаний из России — от промышленных предприятий до операторов связи. Точные намерения хакеров остаются неизвестными, но предполагается, что они нацелены на похищение конфиденциальной информации.

Распространение вредоносного ПО происходит посредством фишинга. Приёмы варьируются: в одном из случаев злоумышленники отправили письмо в кадровый отдел машиностроительного предприятия, запрашивая характеристику на якобы бывшего сотрудника, который претендует на должность в другой фирме. Подобные сообщения, вероятно, содержат ссылки на архивы с вредоносными файлами под видом «резюме». Открытие таких документов приводит к установке бэкдора Merlin.

Программа Merlin представляет собой инструмент постэксплуатации, написанный на языке Go. Она совместима с системами Windows, Linux и macOS и способна работать через протоколы HTTP/1.1, HTTP/2 и HTTP/3. После установки бэкдор передаёт хакерам сведения об устройстве: IP-адрес, версию ОС, имя компьютера, данные о пользователе и архитектуру процессора.

Обнаружено, что один из вариантов Merlin способен загружать обновлённую версию Loki. Этот вредоносный софт собирает системную информацию, включая внутренний IP, версию ОС, наименование устройства и путь к файлу агента, дополнительно фиксируя имя пользователя.

Артём Ушков, эксперт по киберугрозам из «Лаборатории Касперского», отметил, что группа Mythic Likho известна применением фреймворка Mythic с собственными агентами. Он подчеркнул, что злоумышленники не используют шаблонные подходы: хотя атаки осуществляются через фишинговые письма, их содержание меняется, как и способы заражения. Такая тактика увеличивает вероятность успешного взлома. По мнению Артёма Ушкова, организациям стоит серьёзно относиться к вопросам кибербезопасности и применять надёжные меры защиты.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: