Эксперты "Лаборатории Касперского" выявили таргетированную кибератаку Mythic Likho на ведущие российские предприятия. В кампании задействованы усовершенствованный бэкдор Merlin и новая версия вредоноса Loki, использующие открытый фреймворк Mythic. Целями злоумышленников стали более 10 организаций в телекоммуникационном и промышленном секторах.
Атака на ключевые отрасли России
Исследователи обнаружили сложную кампанию с применением модифицированного бэкдора Merlin и обновленной версии вредоносной программы Loki. Оба инструмента функционируют на базе платформы Mythic с открытым кодом. Инциденты затронули свыше десятка российских компаний – от промышленных гигантов до операторов связи. Основной целью злоумышленников считается хищение конфиденциальной информации.
Для распространения используются многообразные фишинговые письма. Одно из них, адресованное HR-отделу машиностроительного концерна, содержало запрос на характеристику уволившегося сотрудника под предлогом трудоустройства в стороннюю организацию.
Технология угрозы: Адаптивные бэкдоры в действии
Открытие файла Rez_ZelibRV.lnk запускает скрытую команду, распаковывающую архив в заданную директорию. Согласно аналитике, подобные письма обычно содержат ссылки на архивы с подложными резюме, активирующие загрузку Merlin. Этот написанный на Go инструмент совместим с Windows, Linux и macOS, использует протоколы HTTP/1.1, HTTP/2, HTTP/3. После запуска Merlin передает злоумышленникам системные данные: IP-адрес, имя пользователя, характеристики ОС, сетевой идентификатор.
Обнаруженные экземпляры Merlin загружают улучшенную версию Loki, которая дополнительно собирает информацию о устройстве и путях исполняемых файлов. Новизной является передача детализированных учетных данных.
Обе программы интегрированы с фреймворком Mythic, позволяющим создавать платформенно-независимых агентов для гибкого проведения атак.
Стратегии защиты от динамичных киберугроз
Группа Mythic Likho отличается активным применением фреймворка Mythic и кастомных агентов. Их тактика избегает шаблонов: постоянно меняется контент рассылок и схемы заражения. Эта адаптивность повышает эффективность атак, требуя от организаций повышенного внимания к ИБ-стратегиям.
Специалисты разработали комплекс мер безопасности:
Укрепление киберустойчивости
Регулярные тренинги по безопасности сокращают риски успешного фишинга. Онлайн-платформы обучения, включая Kaspersky Automated Security Awareness Platform, формируют навыки распознавания угроз. ИБ-командам рекомендуются экспертные тренинги для расширения профессиональных компетенций.
Своевременное обновление ПО защищает корпоративные сети от эксплойтов известных уязвимостей. Ключевым элементом является предоставление специалистам актуальной информации о тактиках злоумышленников через современные Threat Intelligence-сервисы.
Оптимальным решением становится внедрение комплексных ИТ-продуктов, обеспечивающих непрерывную защиту в изменчивой киберархитектуре, таких как Kaspersky Symphony. Эффективность решений регулярно подтверждается независимыми испытаниями.
Мы используем файлы cookie, чтобы сделать использование нашего сайта максимально удобным. Продолжая пользоваться сайтом, вы соглашаетесь с их применением.
