MeshCentral в конфетной обертке: как шпионы проникают в системы крупных ведомств РФ

MeshCentral в конфетной обертке: как шпионы проникают в системы крупных ведомств РФ

Awaken Likho меняет тактику против госструктур.

image

Исследователи SecureList обнаружили новую волну атак, направленных на российские государственные организации и промышленные предприятия. Злоумышленники, известные под именем Awaken Likho (или Core Werewolf), существенно изменили свой арсенал: перешли от UltraVNC к легитимной платформе MeshCentral для удаленного доступа.

Кампания стартовала в июне 2024 года и продолжалась как минимум до августа. По словам аналитиков, группа Awaken Likho активизировала свою деятельность после начала российско-украинского конфликта.

Новый имплант выявили в сентябре 2024 года. Анализ телеметрии показал, что атакующие начали применять его примерно за месяц до этого. ПО распространялось через фишинговые письма, содержащие вредоносные URL-адреса.

Хакеры тщательно готовят свои атаки, используя поисковые системы для сбора информации о потенциальных жертвах. Это позволяет им создавать убедительные фишинговые сообщения. Новый имплант упакован с помощью UPX и распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Архив содержит пять файлов, четыре из которых замаскированы под обычные системные службы и командные файлы.

Основным компонентом нового вредоноса является MeshAgent - агент для системы MeshCentral. Эта легитимная платформа с открытым исходным кодом предназначена для удаленного управления устройствами.

Процесс заражения начинается с выполнения файла MicrosoftStores.exe, который содержит скомпилированный и обфусцированный AutoIt-скрипт. Он запускает два других компонента: NetworkDrivers.exe и nKka9a82kjn8KJHA9.cmd.

NetworkDrivers.exe - агент MeshCentral, который обеспечивает удаленный доступ к зараженной системе. В свою очередь nKka9a82kjn8KJHA9.cmd - это сильно обфусцированный командный файл размером более 1 МБ.

Часть обфусцированного содержимого файла nKka9a82kjn8KJHA9.cmd

Несмотря на значительный объем кода, принцип обфускации относительно прост. Злоумышленники используют вставки текста-заполнителя большого размера, которые пропускаются интерпретатором благодаря использованию меток с оператором GOTO. После деобфускации выясняется, что основная цель этого командного файла - создание задачи планировщика под названием MicrosoftEdgeUpdateTaskMachineMS. А задача выполняет еще один скрипт - EdgeBrowser.cmd, который также содержится в распакованном архиве.

Далее EdgeBrowser.cmd запускает NetworkDrivers.exe (агент MeshAgent) при помощи PowerShell, чтобы установить соединение с командным центром злоумышленников.

В архиве также присутствует файл конфигурации NetworkDrivers.msh, содержащий параметры для подключения агента к серверу MeshCentral. Среди этих параметров - MeshName, MeshID, ServerID и адрес командного центра с соединением по протоколу WebSocket.

При попытке открыть указанный адрес через HTTPS, исследователи обнаружили форму входа на платформу MeshCentral - главное доказательство предыдущих выводов.

Интерфейс входа на платформу MeshCentral

Главными жертвами описанной атаки стали государственные учреждения в России, их подрядчики и промышленные предприятия. С предыдущими целями группы всё это также совпадает.

Исследователи с высокой степенью уверенности атрибутируют обнаруженную кампанию группе Awaken Likho, опираясь на используемые тактики, техники и процедуры (TTP), а также на информацию о жертвах.

Важно отметить, что новая версия вредоносного ПО отличается от предыдущих образцов отсутствием файлов без полезной нагрузки. Это может свидетельствовать о том, что зловред все еще находится в процессе разработки. Вероятно, Awaken Likho продолжит свою активность и в будущем. Специалисты ожидают появления новых атак с использованием усовершенствованных инструментов и техник.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий