Il gruppo di cyberattacchi noto come Awaken Likho sta prendendo di mira le agenzie governative russe e le entità industriali con strumenti avanzati. Questa attività, segnalata da Kaspersky, ha iniziato a manifestarsi a giugno 2024 e ha continuato almeno fino ad agosto dello stesso anno. Gli attacchi sono principalmente diretti contro le agenzie governative russe, i loro appaltatori e le imprese industriali. Awaken Likho, conosciuto anche come Core Werewolf e PseudoGamaredon, è stato documentato per la prima volta da BI.ZONE nel giugno 2023 in relazione ad attacchi informatici contro i settori della difesa e delle infrastrutture critiche. Si ritiene che il gruppo sia attivo almeno dall'agosto 2021.

Metodi di attacco

Gli attacchi di spear-phishing utilizzano eseguibili malevoli mascherati da documenti Microsoft Word o PDF, assegnando loro doppie estensioni come "doc.exe" o ".pdf.exe", in modo che solo le porzioni ".docx" e ".pdf" siano visibili agli utenti. Aprendo questi file, si innesca l'installazione di UltraVNC, consentendo agli attori della minaccia di ottenere il controllo completo dei sistemi compromessi. Altri attacchi del gruppo Core Werewolf hanno preso di mira una base militare russa in Armenia e un istituto di ricerca russo impegnato nello sviluppo di armi.

Cambiamenti nelle modalità di attacco

Un cambiamento significativo nelle modalità di attacco include l'uso di un archivio autoestraente (SFX) per facilitare l'installazione nascosta di UltraVNC, presentando al contempo un documento esca innocuo ai bersagli. L'ultima catena di attacchi scoperta da Kaspersky si basa su un file archivio SFX creato utilizzando 7-Zip che, una volta aperto, attiva l'esecuzione di un file denominato "MicrosoftStores.exe". Questo file estrae uno script AutoIt per eseguire infine lo strumento di gestione remota MeshAgent, open-source.

Persistenza e controllo

Queste azioni permettono al gruppo APT di persistere nel sistema: gli attaccanti creano un'attività pianificata che esegue un file di comando, il quale a sua volta avvia MeshAgent per stabilire una connessione con il server MeshCentral. Questo metodo avanzato di attacco sottolinea l'evoluzione e il perfezionamento delle strategie utilizzate dai gruppi di minaccia per mantenere l'accesso e il controllo sui sistemi compromessi. Gli attacchi evidenziano l'importanza di implementare misure di sicurezza robuste e di restare aggiornati sulle minacce emergenti nel panorama della sicurezza informatica globale.