Специалисты «Лаборатории Касперского» выявили целенаправленную атаку на российские организации под названием Mythic Likho, в которой применяются модифицированная версия бэкдора Merlin и обновленный вариант вредоносной программы Loki. Об этом сообщает портал SecureList.
Отмечается, что обе программы используют фреймворк с открытым исходным кодом Mythic. Атакам подверглись более десяти российских организаций из различных отраслей, включая телекоммуникации и промышленность. Исследователи полагают, что злоумышленники с помощью этой атаки нацелены на получение конфиденциальной информации.
Для распространения вредоносного ПО используются фишинговые письма. Тексты сообщений варьируются. Например, одно из писем было отправлено в кадровую службу машиностроительного предприятия с просьбой предоставить характеристику на бывшего сотрудника, якобы претендующего на должность в другой компании.
Подобные письма часто содержат ссылки на архивы с фейковым резюме, которые при открытии загружают бэкдор Merlin. Этот инструмент, написанный на языке Go, предназначен для постэксплуатации и совместим с операционными системами Windows, Linux и macOS. Он поддерживает работу по протоколам HTTP/1.1, HTTP/2 и HTTP/3. После активации Merlin передает на сервер управления сведения о зараженной системе, включая IP-адрес, версию ОС, имя пользователя, имя хоста и архитектуру процессора.
Один из обнаруженных экземпляров Merlin загружал новую версию Loki. Этот бэкдор также собирает данные о системе и передает злоумышленникам идентификатор агента, IP-адрес, версию ОС, название устройства и путь к исполняемому файлу. В новой версии добавлена передача имени пользователя.
Обе программы разработаны для работы с фреймворком Mythic, который позволяет создавать кастомизированных агентов для различных платформ, что дает атакующим гибкость в выборе методов.
В настоящее время нет информации, которая позволила бы связать эти атаки с какой-либо известной группировкой. Специалисты назвали кампанию Mythic Likho.
