Российские государственные учреждения и предприятия стали мишенями новой кибератаки, известной как «Пробуждение Лихо». Злоумышленники перешли на использование агента для платформы MeshCentral вместо популярного ранее модуля UltraVNC для получения удалённого доступа.
Компания «Лаборатория Касперского» выявила эту кампанию, начавшуюся в июне 2024 года и продолжавшуюся до августа. Она была направлена на государственные структуры, их подрядчиков и промышленные объекты.
Группа Awaken Likho, также известная как Core Werewolf и PseudoGamaredon, впервые была замечена в июне 2023 года при атаках на оборонную и критическую инфраструктуру. Считается, что группировка действует с августа 2021 года.
При фишинговых атаках вредоносные файлы маскируются под документы Microsoft Word или PDF с двойными расширениями, такими как «doc.exe», «.docx.exe» или «.pdf.exe», чтобы пользователи не подозревали о их истинной природе.
Однако при открытии этих файлов устанавливается UltraVNC, что позволяет злоумышленникам получить полный контроль над заражёнными хостами.
Кроме того, атаки были направлены на российскую военную базу в Армении и научно-исследовательский институт, занимающийся разработкой оружия. В этих случаях использовалась самораспаковывающаяся архивная программа (SFX) для скрытой установки UltraVNC.
Последняя известная цепочка атак от «Лаборатории Касперского» также основана на SFX-архиве, созданном с помощью 7-Zip. При открытии архив распаковывает скрипт AutoIt, который запускает инструмент удалённого управления MeshAgent с открытым исходным кодом.
Злоумышленники создают запланированное задание, запускающее командный файл, который, в свою очередь, запускает MeshAgent для подключения к серверу MeshCentral, позволяя APT закрепиться в системе.