详细内容或原文请订阅后点击阅览
Awaken Likho APT 组织利用新植入物瞄准俄罗斯政府
网络安全公司卡巴斯基报告称,一个被追踪为 Awaken Likho 的威胁行为者正在针对俄罗斯政府机构和工业实体。卡巴斯基研究人员最近对 APT 组织 Awaken Likho(又名 Core Werewolf 和 PseudoGamaredon)进行了一项调查,发现了 2024 年 6 月至 8 月期间的一项新活动,表明从 UltraVNC 转向 MeshCentral 平台 […]
来源:Security Affairs _恶意软件醒来的LIKHO APT Group以新的植入物为俄罗斯政府
一个被追踪为Awaken Likho的威胁行为者正在针对俄罗斯政府机构和工业实体。
卡巴斯基研究人员最近对APT Group Wakaken Likho(又名Core Waywolf and Pseudogamaredon)进行了一项调查,从2024年6月到2024年8月,发现了一项新的运动,显示了从Ultravnc转变为远程访问的网状平台。威胁行为者继续针对俄罗斯政府实体和企业。
专家检测到该组使用的新植入物,恶意软件是通过网络钓鱼提供的,以获得对系统的遥控器,从Ultravnc转移到Meshagent。该植入物是通过恶意URL在网络钓鱼电子邮件中分发的,而攻击者在以前的广告系列中使用了自我提取档案和Golang滴管等方法。该运动强调了该小组继续努力完善其远程访问策略。
醒来的Likho在2024年9月使用新植入物观察到,但是对遥测的分析显示,攻击者于2024年8月开始使用恶意软件。
觉醒的likho组现在使用的是一个7 ZIP自提取档案,该档案显示在秘密安装Meshagent工具的同时,显示诱饵文档。攻击链涉及一个SFX档案,该档案将解开自动脚本并执行“ Microsoftstores.exe”,然后启动该工具MESHAGENT。恶意代码通过设置计划的任务来运行MESHAGENT,从而保持持久性,从而连续连接到其网状服务器。
“此脚本使用PowerShell启动NetworkDrivers.exe(Meshagent代理)与C2服务器进行交互。”阅读报告。 “这些操作允许APT坚持在系统中:攻击者创建一个计划的任务,该任务运行一个命令文件,进而启动Meshagent以与MeshCentral Server建立连接。”
阅读报告 russo-ukrainian @securityaffairs Facebook mastodon ( -