卡巴斯基专家最近发现了由Awaken Likho发起的一系列针对俄罗斯政府和工业部门的新型高级持续性威胁(APT)攻击。该威胁组织仍在活跃中,并调整了其战术以提高攻击效果并规避检测。在这次最新的攻击活动中,攻击者利用了MeshCentral,这是一个免费的基于Web的远程控制计算机系统平台,标志着他们从之前使用的UltraVNC代理转向了新的攻击手段。
卡巴斯基专家最近发现了由Awaken Likho发起的一系列针对俄罗斯政府和工业部门的新型高级持续性威胁(APT)攻击。该威胁组织仍在活跃中,并调整了其战术以提高攻击效果并规避检测。在这次最新的攻击活动中,攻击者利用了MeshCentral,这是一个免费的基于Web的远程控制计算机系统平台,标志着他们从之前使用的UltraVNC代理转向了新的攻击手段。
“Awaken Likho”,又被称为Core Werewolf,是一个自2021年以来一直活跃的APT组织,但在俄乌冲突爆发后其活动显著增加。在卡巴斯基对该组织的行动进行研究期间,专家们发现了一个新的恶意活动,该活动从2024年6月开始,至少持续到了8月。该活动以网络间谍和设备控制感知为目标,专门针对俄罗斯的政府和工业组织及其承包商。
卡巴斯基的分析显示,最近的攻击活动中该组织在其工具和所用技术上引入了变化。攻击者利用了MeshCentral,这是一个基于Web的开源平台,用于远程桌面访问、设备管理、文件传输和实时监控。为了在网络中建立立足点,他们通过恶意 URL 将植入程序下载到受害者的设备上,恶意链接据称是通过针对性钓鱼邮件发送的。在之前的类似活动中,攻击者利用搜索引擎广泛收集受害者信息,并精心制作看似合法的电子邮件。这些电子邮件包括自解压压缩文件(SFX)和恶意模块链接,一旦打开,就会安装专为网络间谍活动设计的木马程序。
根据其战术,攻击者可能获取敏感的政府和工业数据,包括机密信息、计划、通讯内容和基础设施运营细节。此外,他们还可以完全控制受害者的设备,从而破坏工作运行、操纵系统或在被入侵的网络内发起进一步攻击。
根据所使用的战术、技术和程序(TTP)以及受害者信息,卡巴斯基专家高度肯定地将此次攻击活动溯源至Awaken Likho 高级持续性威胁(APT)组织。
地缘政治仍然是发起APT攻击的主要推动力,随着攻击者不断改进技术,使其在不被发现的同时最大限度地造成破坏,APT 攻击也在迅速演化。这些攻击再次凸显了对全面安全措施的迫切需求,尤其是在政府和工业部门,因为它们是威胁行为者的主要攻击目标。主动防御策略和实时威胁情报对于应对这些日益复杂的威胁至关重要,“卡巴斯基安全专家Alexey Shulmin评论说。
要了解更多有关Awaken Likho攻击活动的详情,请访问Securelist.com.
想要获取有关最新APT活动和威胁领域新兴趋势的独家洞察,请点击这里注册参加安全分析师峰会。
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
- 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。
- 为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 除了采用基础端点保护之外,还应实施企业级安全解决方案,在早期阶段检测网络层面的高级威胁,例如卡巴斯基反针对性攻击平台。
- 由于许多针对性攻击都始于网络钓鱼或其他社交工程技术手段,因此应引入安全意识培训并向团队传授实用技能,例如,通过卡巴斯基自动化安全意识平台来实现。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
