Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) провели комплексное исследование активности APT-группировки MythicLikho, атакующей субъекты критической информационной инфраструктуры России.
Киберпреступники готовят уникальные фишинговые материалы для каждой жертвы, применяют собственные вредоносные программы и широкий спектр дополнительных инструментов. Для хранения и доставки вредоносного ПО группировка использует взломанные сайты российских компаний и поддельные ресурсы. Цель атак — зашифровать ценные данные и получить выкуп за восстановление доступа.
MythicLikho разрабатывает сценарий атаки и фишинговый контент, опираясь на информацию о деятельности, географическом положении, партнерах и сотрудниках жертвы. Злоумышленники отправляют письма на корпоративные адреса электронной почты якобы от лица специалистов госучреждений, ритейл-компаний или СМИ. При этом первые сообщения не всегда содержат вредоносную ссылку: сначала киберпреступники устанавливают доверительные отношения с получателями. Для дальнейшего развития атаки MythicLikho использует комбинацию из взломанных ресурсов реальных компаний и поддельных сайтов, стилизованных под сферу деятельности жертвы или замаскированных под легитимные сервисы и облачные хранилища.
Группировка применяет широкий набор инструментов: загрузчики HuLoader и ReflectPulse, бэкдор Loki собственной разработки, платные и свободно распространяемые вредоносы, а также десяток дополнительных программ. Для доставки ВПО злоумышленники используют поддельные официальные письма, договоры, товарные чеки, счета на оплату, фотографии, резюме, размещенные на взломанных или фишинговых ресурсах. Запустив бэкдор в сети жертвы, киберпреступники получают данные учетных записей, перемещаются внутри инфраструктуры, выводят ценные сведения, зашифровывают их в скомпрометированной системе и оставляют инструкцию, как вернуть доступ.
«MythicLikho в качестве жертв выбирает крупные платежеспособные предприятия, прежде всего из сфер машиностроения, добывающей и обрабатывающей промышленности. Киберпреступники продумывают каждый шаг атаки, используют сложные цепочки доставки ВПО, совершенствуют свои программы и стабильно обеспечивают анонимность вредоносной инфраструктуры. Кроме того, в нескольких кампаниях злоумышленники использовали инструменты из личного арсенала группировки (Ex)Cobalt, активно атакующей российские организации. Вероятно, MythicLikho состоит из профессионалов с большим опытом в проведении атак, обширными техническими знаниями и контактирует с киберпреступным сообществом», — рассказал Виктор Казаков, ведущий специалист группы киберразведки экспертного центра безопасности Positive Technologies.
По прогнозам экспертов, Mythic Likho еще долгое время будет представлять угрозу для критической информационной инфраструктуры России. Исследователи рекомендуют компаниям использовать сетевые песочницы (PT Sandbox), которые извлекают вложения из электронных писем и проверяют их на наличие ВПО, и PT ISIM для поддержания киберустойчивости промышленных инфраструктур. Важна антивирусная защита от массовых атак на конечные устройства с регулярно обновляемой базой вредоносов (MaxPatrol EPP), понадобятся и продукты для выявления сложных атак и реагирования на них (MaxPatrol EDR). MaxPatrol VM способен предупредить об уязвимостях в инфраструктуре. PT NAD обнаруживает запросы, связанные с работой вредоносного ПО и инструментов, используемых MythicLikho, а PT NGFW блокирует их. MaxPatrol SIEM выявляет инциденты в реальном времени, в том числе фишинг, и предоставляет подробную информацию о них. Кроме того, эксперты рекомендуют работать с данными киберразведки на портале PT Fusion, чтобы своевременно усиливать защиту.
.png)