Лаборатория Касперского опубликовала статью о группе Mythic Likho, атакующей российские компании.
Кампания нацелена на десятки компаний из разных отраслей. Основной способ - фишинговые письма со ссылкой или архивом с ВПО.
Целевой фишинг с персонализацией.
Mythic Likho использует убедительные фишинговые письма, тексты которых адаптированы под каждую жертву. Это значительно повышает успешность атак, так как сотрудники с большей вероятностью откроют письмо, которое выглядит релевантным.
Mythic Likho использует убедительные фишинговые письма, тексты которых адаптированы под каждую жертву. Это значительно повышает успешность атак, так как сотрудники с большей вероятностью откроют письмо, которое выглядит релевантным.
Использование открытых инструментов.
Агент Merlin, который разворачивается после заражения, — это open-source инструмент. Это показывает тренд на использование легитимных инструментов для вредоносной деятельности, что усложняет их обнаружение.
Агент Merlin, который разворачивается после заражения, — это open-source инструмент. Это показывает тренд на использование легитимных инструментов для вредоносной деятельности, что усложняет их обнаружение.
Многообразие платформ и протоколов.
Merlin поддерживает Windows, Linux и macOS, а также использует современные протоколы (HTTP/2, HTTP/3, QUIC). Это говорит о том, что злоумышленники готовы атаковать любую инфраструктуру, независимо от ее конфигурации.
Merlin поддерживает Windows, Linux и macOS, а также использует современные протоколы (HTTP/2, HTTP/3, QUIC). Это говорит о том, что злоумышленники готовы атаковать любую инфраструктуру, независимо от ее конфигурации.
Усложнение анализа.
Изменение методов передачи данных (с POST на GET) и постоянная смена цепочек заражения показывают, что группа активно работает над тем, чтобы избежать обнаружения.
Изменение методов передачи данных (с POST на GET) и постоянная смена цепочек заражения показывают, что группа активно работает над тем, чтобы избежать обнаружения.
Атаки Mythic Likho вписываются в глобальный тренд на усиление кибершпионажа и целевых атак. В последние годы мы наблюдаем рост числа групп, которые используют сложные методы социальной инженерии и кастомные инструменты для сбора данных. Особенно важно на это обратить внимание промышленным предприятиям и телеком-компаниям, которые часто становятся мишенями из-за их стратегической важности.
Что делать?
Обучение сотрудников.
Поскольку фишинг остается основным вектором атак, важно регулярно обучать сотрудников распознаванию подозрительных писем.
Многоуровневая защита.
Внедрение решений для анализа поведения (EDR, XDR) и мониторинга сетевой активности поможет выявить аномалии, даже если злоумышленники используют шифрование.
Актуализация инфраструктуры.
Использование современных протоколов и систем безопасности, таких как Zero Trust, может снизить риски успешных атак.
Поскольку фишинг остается основным вектором атак, важно регулярно обучать сотрудников распознаванию подозрительных писем.
Многоуровневая защита.
Внедрение решений для анализа поведения (EDR, XDR) и мониторинга сетевой активности поможет выявить аномалии, даже если злоумышленники используют шифрование.
Актуализация инфраструктуры.
Использование современных протоколов и систем безопасности, таких как Zero Trust, может снизить риски успешных атак.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
+7 978 214 29 87 — Севастополь