Las agencias gubernamentales rusas y las entidades industriales son el objetivo de un grupo de actividades en curso denominado Despierta hay.
“Los atacantes ahora prefieren usar el agente de la plataforma legítima MeshCentral en lugar del módulo UltraVNC, que anteriormente habían usado para obtener acceso remoto a los sistemas”, dijo Kaspersky, detallando una nueva campaña que comenzó en junio de 2024 y continuó al menos hasta agosto. .
La empresa rusa de ciberseguridad dijo que la campaña estaba dirigida principalmente a agencias gubernamentales rusas, sus contratistas y empresas industriales.
Awaken Likho, también rastreado como Core Werewolf y PseudoGamaredon, fue documentado por primera vez por BI.ZONE en junio de 2023 en relación con ataques cibernéticos dirigidos contra sectores de defensa e infraestructura crítica. Se cree que el grupo está activo desde al menos agosto de 2021.
Los ataques de phishing implican la distribución de ejecutables maliciosos disfrazados de documentos de Microsoft Word o PDF asignándoles extensiones dobles como “doc.exe”, “.docx.exe” o “.pdf.exe”, de modo que solo los archivos .docx y Las partes .pdf de la extensión se muestran a los usuarios.
Sin embargo, se ha descubierto que abrir estos archivos activa la instalación de UltraVNC, lo que permite a los actores de amenazas obtener un control total de los hosts comprometidos.
Otros ataques organizados por Core Werewolf también han apuntado a una base militar rusa en Armenia, así como a un instituto de investigación ruso dedicado al desarrollo de armas, según los hallazgos de FACCT a principios de mayo.
Un cambio notable observado en estos casos se refiere al uso de un archivo autoextraíble (SFX) para facilitar la instalación encubierta de UltraVNC mientras se muestra un documento señuelo inofensivo a los objetivos.
La última cadena de ataque descubierta por Kaspersky también se basa en un archivo SFX creado con 7-Zip que, cuando se abre, desencadena la ejecución de un archivo llamado “MicrosoftStores.exe”, que luego descomprime un script AutoIt para finalmente ejecutar el código abierto. Herramienta de gestión remota MeshAgent.
“Estas acciones permiten que APT persista en el sistema: los atacantes crean una tarea programada que ejecuta un archivo de comando que, a su vez, inicia MeshAgent para establecer una conexión con el servidor MeshCentral”, dijo Kaspersky.