近日，俄羅斯政府機構和工業實體遭遇了一場名為“ Awaken Likho ”的網絡活動攻擊活動。 卡巴斯基表示，攻擊者現在更傾向于使用合法MeshCentral平臺的代理，而不是他們之前用來獲得系統遠程訪問權限的UltraVNC模塊。這家俄羅斯網絡安全公司詳細說明了一場始于2024年6月并至少持續到8月的新活動。該活動主要針對俄羅斯政府機構、其承包商和工業企業。

“ Awaken Likho ”組織，亦稱作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌針對國防和關鍵基礎設施部門發動網絡攻擊。據悉，該組織的活動可追溯至2021年8月。其采用的魚叉式釣魚攻擊手法包括發送偽裝成Word或PDF文檔的惡意可執行文件，這些文件帶有雙重擴展名，如“doc.exe”或“.pdf.exe”，使用戶僅能看到看似無害的.docx或.pdf后綴。

然而，一旦受害者打開這些文件，便會觸發UltraVNC的安裝程序，進而導致攻擊者能夠完全接管受害者的計算機系統。此外，根據F.A.C.C.T.今年5月的報告，Core Werewolf還針對位于亞美尼亞的一個俄羅斯軍事基地以及一家從事武器研究的俄羅斯研究所發動了攻擊。在這些攻擊中，攻擊者使用了一種自解壓存檔（SFX）技術，以隱蔽的方式安裝UltraVNC，同時向受害者展示看似無害的誘餌文檔。

卡巴斯基最新揭露的攻擊鏈條中，攻擊者利用7-Zip創建了一個SFX存檔文件。當受害者打開該文件時，會執行一個名為“MicrosoftStores.exe”的程序，進而解壓并運行一個AutoIt腳本，最終激活開源的MeshAgent遠程管理工具。卡巴斯基解釋稱，這一系列操作使得攻擊者能夠在受害者的系統中長期潛伏，并通過計劃任務定時執行命令文件，以此來啟動MeshAgent并與MeshCentral服務器建立連接。

據安全專家分析，“ Awaken Likho ”團伙使用了定制化的惡意軟件和零日漏洞利用，以實現對目標系統的深度滲透。此外，他們還運用了復雜的網絡釣魚和社會工程學技巧，誘導目標用戶點擊惡意鏈接或下載病毒文件。

值得注意的是，該團伙的攻擊目標主要集中在俄羅斯政府的敏感部門和關鍵基礎設施領域。這些攻擊不僅可能導致政府機密的泄露，還可能對國家安全和社會穩定造成嚴重影響。

為了應對這一威脅，俄羅斯政府已經加強了對網絡安全的投入，并提升了相關機構的防御能力。同時，國際間的網絡安全合作也在不斷加強，以共同應對跨國網絡攻擊的挑戰。

專家建議，政府機構和個人用戶都應提高網絡安全意識，定期更新系統和軟件補丁，避免點擊不明鏈接或下載來源不明的文件。此外，加強數據備份和恢復策略也是防范網絡攻擊的重要措施。

參考來源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html