В России зафиксировали новый этап сложной кибератаки, в рамках которой злоумышленники из группы Awaken Likho атакуют государственные учреждения и промышленные предприятия с использованием технологий удаленного доступа. В отличие от первого этапа кампании, который начался в 2021 году, теперь для получения удаленного доступа к системе злоумышленники используют агент для платформы MeshCentral вместо модуля UltraVNC. Атаки по новой схеме начались в июне 2024 года и продолжались как минимум до августа. Об этом «Газете.Ru» сообщили в пресс-службе компании «Лаборатория Касперского».
Технологии удаленного доступа позволяют пользователям подключаться к удаленному компьютеру с помощью другого компьютера или мобильного устройства. Это позволяет не только взаимодействовать с интерфейсом системы, файлами и папками, но и получать доступ к другим ресурсам устройства. Удаленный доступ изначально задумывался как средство дистанционного администрирования, однако часто используется злоумышленниками для кибершпионажа на устройствах жертв.
Для атак злоумышленники применили новое вредоносное ПО, главная особенность которого – новый метод получения удаленного доступа к системе. Ранее для этого использовался модуль решения UltraVNC, теперь же атакующие применили ПО MeshAgent – агент для системы MeshCentral.
Атака начиналась с того, что зловред загружался на устройства жертв после перехода по вредоносной ссылке, которую пользователи, предположительно, получали в фишинговых письмах. Злоумышленники из Awaken Likho обычно собирают как можно больше информации о жертве в сети через поисковые системы, чтобы составить максимально убедительные сообщения.
По данным «Лаборатории Касперского», за первые 8 месяцев 2024 года в России число атак с использованием технологий удаленного доступа выросло на 35% по сравнению с аналогичным периодом 2023 года.
Ранее выяснилось, что ВГТРК и RuTube взломала одна и та же хакерская группировка.