Positive Technologies сообщила о новых атаках группировки Mythic Likho на российские КИИ
Специалисты экспертного центра безопасности Positive Technologies (PT ESC) выявили новую волну целевых атак APT-группировки Mythic Likho на субъекты критической информационной инфраструктуры (КИИ) России.
Злоумышленники готовят уникальные фишинговые материалы для каждой жертвы, учитывая данные о ее деятельности, географии и партнерах. Первые письма на корпоративные адреса не всегда содержат вредоносные ссылки: киберпреступники могут отправлять их от имени сотрудников госучреждений, ритейл-компаний или СМИ, чтобы установить доверительный контакт.
Для доставки вредоносного ПО группировка использует взломанные сайты российских компаний, а также поддельные ресурсы, стилизованные под сферу деятельности жертвы или легитимные облачные хранилища. В атаках применяются файлы, маскирующиеся под официальные письма, договоры, счета, фотографии и резюме.
В арсенале Mythic Likho специалисты обнаружили собственные загрузчики HuLoader и ReflectPulse, бэкдор Loki, а также ряд платных и свободно распространяемых вредоносных программ. Попав в сеть, злоумышленники получают доступ к учетным записям, перемещаются по инфраструктуре, собирают данные и шифруют их, оставляя инструкции по выкупу.
В ходе анализа выяснилось, что в некоторых кампаниях группировка применяла инструменты, характерные для другой APT-группы — (Ex)Cobalt, которая также атакует российские организации. В компании отмечают, что Mythic Likho, вероятно, состоит из опытных специалистов, имеющих связи в киберпреступном сообществе.
Основными целями группировки остаются крупные предприятия машиностроения, добывающей и обрабатывающей промышленности. В Positive Technologies прогнозируют, что Mythic Likho продолжит представлять угрозу для российской КИИ в долгосрочной перспективе.
Читайте также
