Positive Technologies: российские субъекты КИИ вновь подверглись целевым атакам Mythic Likho

Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESCTI) провели комплексное исследование активности APT-группировки Mythic Likho, атакующей субъекты критической информационной инфраструктуры России. Киберпреступники готовят уникальные фишинговые материалы для каждой жертвы, применяют собственные вредоносные программы и широкий спектр дополнительных инструментов. Для хранения и доставки вредоносного ПО группировка использует взломанные сайты российских компаний и поддельные ресурсы. Цель атак — зашифровать ценные данные и получить выкуп за восстановление доступа.

Mythic Likho разрабатывает сценарий атаки и фишинговый контент, опираясь на информацию о деятельности, географическом положении, партнерах и сотрудниках жертвы. Злоумышленники отправляют письма на корпоративные адреса электронной почты якобы от лица специалистов госучреждений, ритейл-компаний или СМИ. При этом первые сообщения не всегда содержат вредоносную ссылку: сначала киберпреступники устанавливают доверительные отношения с получателями. Для дальнейшего развития атаки Mythic Likho использует комбинацию из взломанных ресурсов реальных компаний и поддельных сайтов, стилизованных под сферу деятельности жертвы или замаскированных под легитимные сервисы и облачные хранилища.

Группировка применяет широкий набор инструментов: загрузчики[1] HuLoader и ReflectPulse, бэкдор[2] Loki собственной разработки, платные и свободно распространяемые вредоносные программы, а также десяток дополнительных программ. Для доставки ВПО злоумышленники используют поддельные официальные письма, договоры, товарные чеки, счета на оплату, фотографии, резюме, размещенные на взломанных или фишинговых ресурсах. Запустив бэкдор в сети жертвы, киберпреступники получают данные учетных записей, перемещаются внутри инфраструктуры, выводят ценные сведения, зашифровывают их в скомпрометированной системе и оставляют инструкцию, как вернуть доступ.

«Mythic Likho в качестве жертв выбирает крупные платежеспособные предприятия, прежде всего из сфер машиностроения, добывающей и обрабатывающей промышленности. Киберпреступники продумывают каждый шаг атаки, используют сложные цепочки доставки ВПО, совершенствуют свои программы и стабильно обеспечивают анонимность вредоносной инфраструктуры. Кроме того, в нескольких кампаниях злоумышленники использовали инструменты из личного арсенала группировки (Ex)Cobalt, активно атакующей российские организации. Вероятно, Mythic Likho состоит из профессионалов с большим опытом в проведении атак, обширными техническими знаниями и контактирует с киберпреступным сообществом», — рассказал Виктор Казаков, ведущий специалист группы киберразведки экспертного центра безопасности Positive Technologies.

По прогнозам экспертов, Mythic Likho еще долгое время будет представлять угрозу для критической информационной инфраструктуры России.