Η ομάδα Awaken Likho στοχεύει ρωσικές κυβερνητικές υπηρεσίες
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα Awaken Likho στοχεύει ρωσικές κυβερνητικές υπηρεσίες
https://www.secnews.gr/624088/omada-awaken-likho-stoxeuei-kibernitikes-rosikes-ipiresies/
Oct 8th 2024, 17:49
Η hacking ομάδα Awaken Likho στοχεύει ρωσικές κυβερνητικές υπηρεσίες και βιομηχανικές οντότητες, σύμφωνα με μια έκθεση της Kaspersky.
Οι αρχικές επιθέσεις είχαν ξεκινήσει το 2021. Κατά τη διερεύνηση της δραστηριότητας αυτής της ομάδας APT, όμως, οι ερευνητές ανακάλυψαν μια νέα καμπάνια που ξεκίνησε τον Ιούνιο του 2024 και συνεχίστηκε τουλάχιστον μέχρι τον Αύγουστο. Οι ερευνητές είδαν ότι οι εισβολείς είχαν αλλάξει το λογισμικό που χρησιμοποιούσαν στις επιθέσεις τους.
«Οι εισβολείς προτιμούν τώρα να χρησιμοποιούν τον agent για τη νόμιμη πλατφόρμα MeshCentral αντί για το UltraVNC module, το οποίο το είχαν χρησιμοποιήσει προηγουμένως για να αποκτήσουν απομακρυσμένη πρόσβαση στα συστήματα».
Δείτε επίσης: ESET: Οι hackers GoldenJackal στoxεύουν air-gapped συστήματα
Η Kaspersky είπε ότι οι hackers στόχευαν κυρίως ρωσικές κρατικές υπηρεσίες, τους εργολάβους τους και βιομηχανικές επιχειρήσεις.
Η ομάδα Awaken Likho, η οποία είναι επίσης γνωστή ως Core Werewolf και PseudoGamaredon, τεκμηριώθηκε για πρώτη φορά από τη BI.ZONE τον Ιούνιο του 2023. Τότε, είχαν εντοπιστεί επιθέσεις κατά του τομέα άμυνας και των κρίσιμων υποδομών. Η ομάδα πιστεύεται ότι είναι ενεργή τουλάχιστον από τον Αύγουστο του 2021.
Οι επιτιθέμενοι ξεκινούν συχνά με επιθέσεις spear-phishing οι οποίες διανέμουν κακόβουλα εκτελέσιμα αρχεία, μεταμφιεσμένα σε έγγραφα του Microsoft Word ή PDF. Συνήθως, περιέχουν διπλή επέκταση, όπως "doc.exe", ".docx.exe" ή ".pdf.exe", αλλά οι χρήστες βλέπουν μόνο τα τμήματα .docx και .pdf της επέκτασης.
Δείτε επίσης: Ουκρανοί hackers πίσω από την επίθεση στη ρωσική VGTRK;
Ωστόσο, το άνοιγμα αυτών των αρχείων ενεργοποιεί την εγκατάσταση του UltraVNC, επιτρέποντας στην ομάδα Awaken Likho να αποκτήσει τον πλήρη έλεγχο των παραβιασμένων κεντρικών υπολογιστών.
Η πιο πρόσφατη επίθεση που ανακαλύφθηκε από την Kaspersky βασίζεται επίσης σε ένα archive file SFX που δημιουργήθηκε με χρήση 7-Zip, το οποίο, όταν ανοίξει, ενεργοποιεί την εκτέλεση ενός αρχείου που ονομάζεται "MicrosoftStores.exe". Αυτό οποίο στη συνέχεια αποσυμπιέζει ένα AutoIt script για να εκτελέσει τελικά το open-source MeshAgent remote management.
«Αυτές οι ενέργειες επιτρέπουν στην ομάδα APT να παραμείνει στο σύστημα: οι εισβολείς δημιουργούν ένα scheduled task που εκτελεί ένα αρχείο εντολών, το οποίο, με τη σειρά του, εκκινεί το MeshAgent για να δημιουργήσει μια σύνδεση με τον διακομιστή MeshCentral», είπε ο Kaspersky.
Η ομάδα έχει, επίσης, συνδεθεί με μια επίθεση σε ρωσική στρατιωτική βάση στην Αρμενία καθώς και με μια παραβίαση σε ρωσικό ερευνητικό ινστιτούτο που ασχολείται με την ανάπτυξη όπλων.
Δείτε επίσης: Microsoft και DOJ στόχευσαν την υποδομή των Ρώσων hackers ColdRiver
Οι επιθέσεις αυτής της Awaken Likho χρησιμεύουν ως υπενθύμιση του συνεχώς εξελισσόμενου τοπίου του κυβερνοπολέμου και των πιθανών επιπτώσεων που μπορεί να έχει τόσο σε κυβερνητικούς φορείς όσο και σε ιδιωτικούς οργανισμούς.
Καθώς η τεχνολογία συνεχίζει να προοδεύει, πρέπει να ενισχύονται και οι άμυνές μας απέναντι σε αυτές τις περίπλοκες απειλές. Είναι ζωτικής σημασίας για τις κυβερνήσεις και τις βιομηχανίες να συνεργαστούν για την ενίσχυση των μέτρων κυβερνοασφάλειας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα Awaken Likho στοχεύει ρωσικές κυβερνητικές υπηρεσίες
https://www.secnews.gr/624088/omada-awaken-likho-stoxeuei-kibernitikes-rosikes-ipiresies/
Oct 8th 2024, 17:49
Η hacking ομάδα Awaken Likho στοχεύει ρωσικές κυβερνητικές υπηρεσίες και βιομηχανικές οντότητες, σύμφωνα με μια έκθεση της Kaspersky.
Οι αρχικές επιθέσεις είχαν ξεκινήσει το 2021. Κατά τη διερεύνηση της δραστηριότητας αυτής της ομάδας APT, όμως, οι ερευνητές ανακάλυψαν μια νέα καμπάνια που ξεκίνησε τον Ιούνιο του 2024 και συνεχίστηκε τουλάχιστον μέχρι τον Αύγουστο. Οι ερευνητές είδαν ότι οι εισβολείς είχαν αλλάξει το λογισμικό που χρησιμοποιούσαν στις επιθέσεις τους.
«Οι εισβολείς προτιμούν τώρα να χρησιμοποιούν τον agent για τη νόμιμη πλατφόρμα MeshCentral αντί για το UltraVNC module, το οποίο το είχαν χρησιμοποιήσει προηγουμένως για να αποκτήσουν απομακρυσμένη πρόσβαση στα συστήματα».
Δείτε επίσης: ESET: Οι hackers GoldenJackal στoxεύουν air-gapped συστήματα
Η Kaspersky είπε ότι οι hackers στόχευαν κυρίως ρωσικές κρατικές υπηρεσίες, τους εργολάβους τους και βιομηχανικές επιχειρήσεις.
Η ομάδα Awaken Likho, η οποία είναι επίσης γνωστή ως Core Werewolf και PseudoGamaredon, τεκμηριώθηκε για πρώτη φορά από τη BI.ZONE τον Ιούνιο του 2023. Τότε, είχαν εντοπιστεί επιθέσεις κατά του τομέα άμυνας και των κρίσιμων υποδομών. Η ομάδα πιστεύεται ότι είναι ενεργή τουλάχιστον από τον Αύγουστο του 2021.
Οι επιτιθέμενοι ξεκινούν συχνά με επιθέσεις spear-phishing οι οποίες διανέμουν κακόβουλα εκτελέσιμα αρχεία, μεταμφιεσμένα σε έγγραφα του Microsoft Word ή PDF. Συνήθως, περιέχουν διπλή επέκταση, όπως "doc.exe", ".docx.exe" ή ".pdf.exe", αλλά οι χρήστες βλέπουν μόνο τα τμήματα .docx και .pdf της επέκτασης.
Δείτε επίσης: Ουκρανοί hackers πίσω από την επίθεση στη ρωσική VGTRK;
Ωστόσο, το άνοιγμα αυτών των αρχείων ενεργοποιεί την εγκατάσταση του UltraVNC, επιτρέποντας στην ομάδα Awaken Likho να αποκτήσει τον πλήρη έλεγχο των παραβιασμένων κεντρικών υπολογιστών.
Η πιο πρόσφατη επίθεση που ανακαλύφθηκε από την Kaspersky βασίζεται επίσης σε ένα archive file SFX που δημιουργήθηκε με χρήση 7-Zip, το οποίο, όταν ανοίξει, ενεργοποιεί την εκτέλεση ενός αρχείου που ονομάζεται "MicrosoftStores.exe". Αυτό οποίο στη συνέχεια αποσυμπιέζει ένα AutoIt script για να εκτελέσει τελικά το open-source MeshAgent remote management.
«Αυτές οι ενέργειες επιτρέπουν στην ομάδα APT να παραμείνει στο σύστημα: οι εισβολείς δημιουργούν ένα scheduled task που εκτελεί ένα αρχείο εντολών, το οποίο, με τη σειρά του, εκκινεί το MeshAgent για να δημιουργήσει μια σύνδεση με τον διακομιστή MeshCentral», είπε ο Kaspersky.
Η ομάδα έχει, επίσης, συνδεθεί με μια επίθεση σε ρωσική στρατιωτική βάση στην Αρμενία καθώς και με μια παραβίαση σε ρωσικό ερευνητικό ινστιτούτο που ασχολείται με την ανάπτυξη όπλων.
Δείτε επίσης: Microsoft και DOJ στόχευσαν την υποδομή των Ρώσων hackers ColdRiver
Οι επιθέσεις αυτής της Awaken Likho χρησιμεύουν ως υπενθύμιση του συνεχώς εξελισσόμενου τοπίου του κυβερνοπολέμου και των πιθανών επιπτώσεων που μπορεί να έχει τόσο σε κυβερνητικούς φορείς όσο και σε ιδιωτικούς οργανισμούς.
Καθώς η τεχνολογία συνεχίζει να προοδεύει, πρέπει να ενισχύονται και οι άμυνές μας απέναντι σε αυτές τις περίπλοκες απειλές. Είναι ζωτικής σημασίας για τις κυβερνήσεις και τις βιομηχανίες να συνεργαστούν για την ενίσχυση των μέτρων κυβερνοασφάλειας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια