Лаборатория Касперского опубликовала статью о группе Mythic Likho, атакующей российские компании.
Кампания нацелена на десятки компаний из разных отраслей. Основной способ - фишинговые письма со ссылкой или архивом с ВПО.
Целевой фишинг с персонализацией. Mythic Likho использует убедительные фишинговые письма, тексты которых адаптированы под каждую жертву. Это значительно повышает успешность атак, так как сотрудники с большей вероятностью откроют письмо, которое выглядит релевантным.
Использование открытых инструментов. Агент Merlin, который разворачивается после заражения, — это open-source инструмент. Это показывает тренд на использование легитимных инструментов для вредоносной деятельности, что усложняет их обнаружение.
Многообразие платформ и протоколов. Merlin поддерживает Windows, Linux и macOS, а также использует современные протоколы (HTTP/2, HTTP/3, QUIC). Это говорит о том, что злоумышленники готовы атаковать любую инфраструктуру, независимо от ее конфигурации.
Усложнение анализа. Изменение методов передачи данных (с POST на GET) и постоянная смена цепочек заражения показывают, что группа активно работает над тем, чтобы избежать обнаружения.
Атаки Mythic Likho вписываются в глобальный тренд на усиление кибершпионажа и целевых атак. В последние годы мы наблюдаем рост числа групп, которые используют сложные методы социальной инженерии и кастомные инструменты для сбора данных. Особенно важно на это обратить внимание промышленным предприятиям и телеком-компаниям, которые часто становятся мишенями из-за их стратегической важности.
Что делать?
Обучение сотрудников. Поскольку фишинг остается основным вектором атак, важно регулярно обучать сотрудников распознаванию подозрительных писем. Многоуровневая защита. Внедрение решений для анализа поведения (EDR, XDR) и мониторинга сетевой активности поможет выявить аномалии, даже если злоумышленники используют шифрование. Актуализация инфраструктуры. Использование современных протоколов и систем безопасности, таких как Zero Trust, может снизить риски успешных атак.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)