СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:38
#ИБ

Mythic Likho: изощренные кибератаки на критическую инфраструктуру России

С сентября 2024 года преступная группа Mythic Likho проводит целевые и технически сложные кампании против критически важной инфраструктуры России. В арсенале группы — набор известных и модифицируемых инструментов вредоносного ПО, включая Loki backdoor и загрузчик Merlin. Их цель — длительное незаметное присутствие в сетях жертв, кража данных и, в ряде случаев, потенциальное уничтожение систем.

Ключевые этапы атак и методики

  • Разведка целей: группа собирает подробную информацию об организационной структуре жертв, связанных организациях, адресах эл. почты и бизнес-ролях. Эти данные используются для подготовки социально-инженерных кампаний и повышения доверия к фишинговым письмам.
  • Социальная инженерия и фишинг: злоумышленники имитируют легитимные организации и создают правдоподобные адреса эл. почты для доставки вредоносных сообщений.
  • Инфраструктура и сокрытие: регистрируются домены в российских облачных сервисах, разворачиваются виртуальные серверы; для маскировки вредоносных IP-адресов используется Cloudflare.
  • Доставка полезной нагрузки: распространение осуществляется через вложенные файлы типа ISO и RAR, где полезная нагрузка замаскирована под официальные документы и оформлена так, чтобы вызвать доверие у получателя.
  • Закрепление в системе: после компрометации жертвы группа изменяет реестр Windows для обеспечения автозапуска Loki backdoor при старте системы.

Инструменты и способности злоумышленников

  • Loki backdoor — обеспечивает постоянный удалённый доступ, выполнение команд, загрузку дополнительных модулей и эксфильтрацию данных через защищённые каналы, включая SFTP.
  • Merlin — загрузчик, используемый для подтягивания и запуска последующих компонентов.
  • HuLoader, ReflectPulse — дополнительные вредоносные компоненты, применяемые для управления и распространения внутри сети.
  • Инструменты для кражи учётных данных: Mimikatz и XenArmor используются для извлечения паролей и другой чувствительной информации, что облегчает lateral movement (перемещение по сети).

Приёмы обхода обнаружения и эволюция угрозы

Атаки Mythic Likho демонстрируют динамичную эволюцию: злоумышленники постоянно модифицируют свои инструменты и тактики для затруднения аналитики и обхода защитных средств. Среди используемых методов отмечаются:

  • динамическое разрешение вызовов API (dynamic API call resolution),
  • жёсткое шифрование каналов и хранимых данных,
  • модульность вредоносного ПО, позволяющая подгружать новые компоненты по мере необходимости.

«Атаки показывают, что группа ориентирована не просто на быструю компрометацию, а на длительное скрытое присутствие и целенаправленную эксфильтрацию с возможной деструкцией систем», — следует из анализа кампании.

Последствия для критической инфраструктуры

Комбинация устойчивого доступа, технологии сбора учётных данных и каналов эксфильтрации создаёт серьёзную угрозу для организаций критической значимости. Потенциальные последствия включают:

  • утечку конфиденциальных данных;
  • нарушение доступности сервисов и потенциальное уничтожение данных или систем;
  • долгосрочные репутационные и экономические потери для пострадавших организаций.

Рекомендации по защите

Для уменьшения рисков экспертами рекомендуются скоординированные меры по технической и организационной защите:

  • Обучение сотрудников: регулярные тренинги по фишингу и социальному инжинирингу; проведение практических упражнений по распознаванию вредоносных вложений (ISO, RAR).
  • Усиление почтового фильтра: фильтрация и блокировка подозрительных вложений, строгая проверка доменов отправителей.
  • Многофакторная аутентификация (MFA): обязательное использование MFA для удалённого доступа и критичных сервисов.
  • Сегментация сети и принцип наименьших привилегий: ограничение возможности lateral movement и минимизация доступа сотрудников к чувствительным ресурсам.
  • Современные средства обнаружения и реагирования: внедрение EDR/XDR, мониторинг аномалий, контроль SFTP-трафика и поведенческий анализ.
  • Жёсткая политика управления учётными данными: защита и регулярная ротация паролей, использование специализированных решений для секрета и контроля привилегированных учётных записей.
  • Мониторинг инфраструктуры и доменов: отслеживание регистрации похожих доменов, контроль активности виртуальных серверов и конфигураций в облаке.

Вывод

Mythic Likho представляет собой продвинутую, адаптирующуюся угрозу, ориентированную на длительное присутствие в сетях и целенаправленную эксфильтрацию данных. Комбинация социально-инженерных приёмов, использования известных загрузчиков и бэкдоров (Loki backdoor, Merlin, HuLoader, ReflectPulse) и инструментов для кражи учётных данных делает их кампании особенно опасными для критической инфраструктуры. Для уменьшения рисков организациям необходимо сочетать технические меры с подготовкой персонала и постоянным мониторингом угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: