Table of Contents
Análise da Atividade Maliciosa: Awaken Likho
A atividade cluster conhecida como Awaken Likho tem como alvo agências do governo russo e entidades industriais, sendo um componente preocupante no cenário de segurança cibernética atual. De acordo com um relatório da Kaspersky, essa campanha de ataque começou em junho de 2024 e se estendeu pelo menos até agosto do mesmo ano.
Características da Campanha
- A campanha é predominantemente direcionada a agências governamentais russas, seus contratantes e empresas industriais.
- Os ataques de spear-phishing distribuíram executáveis maliciosos disfarçados como documentos do Microsoft Word ou PDFs.
- Os arquivos maliciosos utilizam extensões duplas, como “doc.exe” ou “.pdf.exe”, para enganar os usuários.
“Essas ações permitem que o APT persista no sistema: os atacantes criam uma tarefa agendada que executa um arquivo de comando, que, por sua vez, inicia o MeshAgent para estabelecer uma conexão com o servidor MeshCentral”, explicou a Kaspersky.
Documentação e Evolução da Ameaça
O grupo Awaken Likho é também rastreado como Core Werewolf e PseudoGamaredon, tendo sido documentado pela primeira vez pela BI.ZONE em junho de 2023, em conexão com ataques cibernéticos voltados para os setores de defesa e infraestrutura crítica. Acredita-se que o grupo esteja ativo desde pelo menos agosto de 2021.
Ações Após a Infecção
Após a abertura de arquivos maliciosos, os atacantes têm a capacidade de instalar o UltraVNC, que permite controle total sobre as máquinas infectadas. Outro método observado é o uso de um arquivo de arquivo autoextraível (SFX) para instalar o UltraVNC clandestinamente, enquanto um documento enganoso é exibido para os alvos.
Inovações na Metodologia de Ataque
A mais recente cadeia de ataque descoberta pela Kaspersky utiliza um arquivo SFX criado com 7-Zip. Quando aberto, esse arquivo aciona a execução de um arquivo denominado “MicrosoftStores.exe”, que descompacta um script AutoIt para finalmente executar a ferramenta de gerenciamento remoto MeshAgent.
Alvos e Implicações
Além de agências governamentais, outros alvos significativos incluem uma base militar russa na Armênia e um instituto de pesquisa russa envolvido no desenvolvimento de armamentos. Os resultados de investigações indicam que a escolha dos alvos reflete uma estratégia centrada na infraestrutura crítica e na defesa do Estado.
A evolução destas técnicas de ataque destaca a necessidade urgente de medidas de segurança cibernética mais robustas e adaptativas frente a grupos como o Awaken Likho. A utilização de plataformas legítimas e a camuflagem de malware como documentos comuns são táticas que elevam a complexidade na detecção e mitigação de ameaças que visam setores sensíveis.
#Cibersegurança, #AwakenLikho, #APT, #AtaquesCibernéticos, #Malware, #SpearPhishing, #Kaspersky, #InfraestruturaCrítica
autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html