В России обнаружена новая кибератака под названием Mythic Likho.

В России была обнаружена новая хакерская атака под названием Mythic Likho. Эксперты из «Лаборатории Касперского» зафиксировали нацеленные атаки на различные российские компании, которые использовали модифицированную версию бэкдора Merlin и усовершенствованную версию вредоносного ПО Loki. Информацию об этом предоставляет портал SecureList.

Следует отметить, что обе программы работают на основе открытого фреймворка Mythic. Пострадавшими стали более десяти организаций из разных секторов, таких как телекоммуникации и промышленность. Исследователи предполагают, что цель злоумышленников – это сбор конфиденциальной информации.

Вредоносные программы распространяются с помощью фишинговых писем. Содержимое сообщений может быть различным. Например, одно из писем было адресовано кадровой службе завода, в котором просили предоставить информацию о бывшем работнике, якобы желающем занять позицию в другой компании.

Такие письма часто содержат ссылки на архивы с поддельными резюме, которые, если открыть, загружают бэкдор Merlin. Этот инструмент, созданный на языке Go, предназначен для последующей эксплуатации и совместим с операционными системами Windows, Linux и macOS. Связь осуществляется по протоколам HTTP/1.1, HTTP/2 и HTTP/3.

После инсталляции Merlin отправляет на сервер управления данные о зараженной системе, включая IP-адрес, версию операционной системы, имя пользователя, имя хоста и архитектуру процессора. Один из найденных вариантов Merlin загружал обновленную версию Loki. Этот бэкдор также собирает системные данные и передает злоумышленникам идентификатор агента, IP-адрес, версию операционной системы, название устройства и путь к файлу.

В новой версии добавилась возможность передачи имени пользователя. Обе программы разработаны для интеграции с фреймворком Mythic, который позволяет создавать кастомизированные агенты для различных операционных систем, предоставляя злоумышленникам гибкость в избираемых методах.

На данный момент нет сведений, которые бы позволили привязать эти атаки к какой-либо известной кибергруппе. Специалисты назвали эту кампанию Mythic Likho. Кроме того, раньше россиянам предложили рекомендации о том, как действовать в случае, если их электронная почта будет взломана хакерами.

Важно отметить, что компаниям и пользователям рекомендуется повышать уровень кибербезопасности, используя антивирусные программы, регулярно обновляя ПО и обучая сотрудников основам защиты данных и распознавания фишинга. Также необходимо внедрять многофакторную аутентификацию для защиты учетных записей и внимательно следить за подозрительной активностью в сети.

Правоохранительные органы и киберэксперты призывают всех пострадавших от атак немедленно сообщать о происшествиях в соответствующие ведомства и сотрудничать с ними для минимизации ущерба и предотвращения дальнейших атак.