Les agences gouvernementales et les entités industrielles russes sont la cible d’un cluster d’activités en cours baptisé Réveiller Likho.
“Les attaquants préfèrent désormais utiliser l’agent pour la plate-forme légitime MeshCentral au lieu du module UltraVNC, qu’ils utilisaient auparavant pour accéder à distance aux systèmes”, a déclaré Kaspersky, détaillant une nouvelle campagne qui a débuté en juin 2024 et s’est poursuivie au moins jusqu’en août. .
La société russe de cybersécurité a déclaré que la campagne ciblait principalement les agences gouvernementales russes, leurs sous-traitants et les entreprises industrielles.
Awaken Likho, également suivi sous les noms de Core Werewolf et PseudoGamaredon, a été documenté pour la première fois par BI.ZONE en juin 2023 en relation avec des cyberattaques dirigées contre les secteurs de la défense et des infrastructures critiques. Le groupe serait actif depuis au moins août 2021.
Les attaques de spear phishing consistent à distribuer des exécutables malveillants déguisés en documents Microsoft Word ou PDF en leur attribuant des extensions doubles telles que « doc.exe », « .docx.exe » ou « .pdf.exe », de sorte que seuls les fichiers .docx et Les parties .pdf de l’extension s’affichent pour les utilisateurs.
Cependant, l’ouverture de ces fichiers déclenche l’installation d’UltraVNC, permettant ainsi aux acteurs malveillants de prendre le contrôle total des hôtes compromis.
D’autres attaques organisées par Core Werewolf ont également ciblé une base militaire russe en Arménie ainsi qu’un institut de recherche russe engagé dans le développement d’armes, selon les conclusions du FACCT début mai.
Un changement notable observé dans ces cas concerne l’utilisation d’une archive auto-extractible (SFX) pour faciliter l’installation secrète d’UltraVNC tout en affichant un document leurre inoffensif aux cibles.
La dernière chaîne d’attaque découverte par Kaspersky s’appuie également sur un fichier d’archive SFX créé à l’aide de 7-Zip qui, une fois ouvert, déclenche l’exécution d’un fichier nommé « MicrosoftStores.exe », qui décompresse ensuite un script AutoIt pour finalement exécuter l’open source. Outil de gestion à distance MeshAgent.
“Ces actions permettent à l’APT de persister dans le système : les attaquants créent une tâche planifiée qui exécute un fichier de commande qui, à son tour, lance MeshAgent pour établir une connexion avec le serveur MeshCentral”, a déclaré Kaspersky.