El grupo de ciberataque ‘Awaken Likho’ apunta al gobierno ruso con herramientas avanzadas

Russian Government with Advanced Tools

8 de octubre de 2024Lakshmanan encantadoAmenaza cibernética / ataque APT

El gobierno ruso equipado con herramientas avanzadas

Las agencias gubernamentales rusas y las entidades industriales son el objetivo de un grupo de actividades en curso denominado Despierta Likho.

«Los atacantes ahora prefieren utilizar el agente legítimo de la plataforma MeshCentral en lugar del módulo UltraVNC, que anteriormente utilizaban para acceder de forma remota a los sistemas», Kaspersky dichodetallando una nueva campaña que comenzó en junio de 2024 y continuó hasta al menos agosto.

La empresa rusa de ciberseguridad dijo que la campaña estaba dirigida principalmente a agencias gubernamentales rusas, sus contratistas y empresas industriales.

Ciberseguridad

Awaken Likho, también conocido como Core Werewolf y PseudoGamaredon, fue documentado por primera vez por BI.ZONE en junio de 2023 como parte de ciberataques contra los sectores de defensa e infraestructura crítica. Según se informa, el grupo ha estado activo desde al menos agosto de 2021.

Los ataques de Spear phishing implican la distribución de ejecutables maliciosos disfrazados de documentos de Microsoft Word o PDF dándoles extensiones dobles como «doc.exe», «.docx.exe» o «.pdf.exe», de modo que solo los archivos .docx y .pdf partes de la extensión se muestran a los usuarios.

Sin embargo, abrir estos archivos activa la instalación de UltraVNC, lo que permite a actores malintencionados tomar el control total de los hosts comprometidos.

Otros ataques organizados por Core Werewolf también tuvieron como objetivo una base militar rusa en Armenia, así como un instituto de investigación ruso dedicado al desarrollo de armas, según resultados de FACCT a principios de mayo.

Un cambio notable observado en estos casos es el uso de un archivo autoextraíble (SFX) para facilitar la instalación encubierta de UltraVNC mientras se muestra un documento señuelo inofensivo a los objetivos.

Ciberseguridad

La última cadena de ataque descubierta por Kaspersky también se basa en un archivo SFX creado con 7-Zip que, cuando se abre, desencadena la ejecución de un archivo llamado «MicrosoftStores.exe», que luego descomprime un script AutoIt para finalmente ejecutar el código abierto. Herramienta de gestión remota MeshAgent.

«Estas acciones permiten que APT persista en el sistema: los atacantes crean una tarea programada que ejecuta un archivo de comandos que, a su vez, inicia MeshAgent para establecer una conexión con el servidor MeshCentral», dijo Kaspersky.

¿Te pareció interesante este artículo? Síguenos en Gorjeo Y LinkedIn para leer más contenido exclusivo que publicamos.