卡巴斯基研究人员发现了 Awaken Likho APT 组织(又称 Core Werewolf)的新活动,该组织至少从 2021 年 7 月起就开始活跃。据了解,该组织以俄罗斯政府机构和工业企业为目标。最新的攻击活动始于 2024 年 6 月,这表明攻击者改变了他们的软件和技术。
以前,Awaken Likho 利用 UltraVNC 模块进行远程访问,但他们最近的行动表明,他们已转向使用 MeshAgent(合法 MeshCentral 平台的代理)。MeshCentral 是一个开源解决方案,设计用于远程设备管理,但在这些攻击者手中,它却成了未经授权控制被入侵系统的有力武器。
卡巴斯基称,”攻击者在攻击中使用的软件发生了很大变化。攻击者现在更喜欢使用合法的 MeshCentral 平台代理,而不是 UltraVNC 模块”。这一转变标志着 APT 组织的运作方式发生了重大变化,使他们的攻击更难被发现和缓解。
在调查过程中,卡巴斯基团队发现了通过钓鱼邮件发送的新植入程序,这是 Awaken Likho 的标志性技术。虽然他们无法检索到原始的钓鱼邮件,但之前的攻击表明该病毒使用了自解压压缩文件(SFX)和恶意模块来传输有效载荷。
以 “#”模式打开的压缩包内容 | 图片: 卡巴斯基
所分析的植入程序是通过使用 7-Zip 创建的 SFX 发布的。卡巴斯基解释说,“该压缩包包含五个文件,其中四个伪装成合法的系统服务和命令文件”。这些诱饵文件用于误导受害者,而真正的有效载荷则在后台悄无声息地运行。
解压缩后,植入程序会运行 MicrosoftStores.exe,这是一个包含编译 AutoIt 脚本的文件。卡巴斯基专家在对该脚本进行解密后发现,它可以启动两个关键组件: NetworkDrivers.exe是MeshAgent,而nKka9a82kjn8KJHA9.cmd是一个严重混淆的命令文件。
植入的最终目的是持久性。通过创建名为 MicrosoftEdgeUpdateTaskMachineMS 的计划任务,攻击者可确保 MeshAgent 重新连接到命令与控制 (C2) 服务器。服务器连接是使用 WebSocket 协议建立的,“通过 HTTPS 打开该地址时,会显示 MeshCentral 平台的登录表单”,这一点得到了证实。
唤醒 Likho APT
MeshCentral 平台登录界面 | 图片: 卡巴斯基
此次活动的主要目标与 Awaken Likho 之前的活动保持一致–俄罗斯政府机构、承包商和工业企业。根据所采用的战术、技术和程序(TTPs),卡巴斯基非常有把握地将此次活动归因于 Awaken Likho 组织。
这些攻击开始于俄乌冲突开始后不久,其时机突出表明了该组织的政治动机。“卡巴斯基指出:”Awaken Likho 是在俄乌冲突开始后加紧活动的威胁行为体之一。
随着该 APT 组织不断完善其武器库,各组织,尤其是俄罗斯政府和工业部门的组织,必须保持警惕。
通过www.DeepL.com/Translator(免费版)翻译