Кибератаки на российские предприятия: новые угрозы от бэкдора Loki, использующего фреймворк Mythic
От машиностроения до медицины: кто под прицелом хакеров?
В июле 2024 года специалисты «Лаборатории Касперского» выявили , что более десяти российских предприятий из разных отраслей — от машиностроения до медицины — стали жертвами кибератак с применением ранее неизвестного бэкдора Loki.
Вредоносная программа была разработана на базе популярного фреймворка с открытым исходным кодом Mythic.
Фреймворк Mythic изначально разрабатывался как инструмент для удалённого управления в процессе имитации кибератак и оценки уровня защищённости IT-инфраструктур. Однако злоумышленники нередко используют подобные фреймворки для вредоносных целей. Mythic позволяет создавать агентов на различных языках программирования для любой платформы с функциями, которые могут настраиваться под нужды разработчиков.
Преступники воспользовались этими возможностями и разработали свою версию агента под названием Loki, что затрудняет его обнаружение и атрибуцию. В дополнение к фреймворку с открытым исходным кодом в атаках также использовались другие общедоступные утилиты.
Эксперты полагают, что в большинстве случаев Loki проникал в системы через электронные письма, содержащие вредоносные вложения. После открытия таких файлов невнимательными пользователями, бэкдор начинал свою активность. Это подтверждается телеметрическими данными и наименованиями файлов, такими как «смета_27.05.2024.exe», «На_согласование_публикации_<предприятие>.rar», «ПЕРЕЧЕНЬ_ДОКУМЕНТОВ.ISO».
Loki представляет серьёзную угрозу, так как способен выполнять широкий спектр команд на заражённом устройстве. Злоумышленники могут загружать и скачивать любые файлы, а также запускать на устройстве вредоносные программы. Часто атаки с применением подобных бэкдоров приводят не только к утечке конфиденциальных данных, но и к полному удалению всех файлов, хранящихся в системе.
В компании отметили, что злоумышленники всё чаще используют методы социальной инженерии для проникновения в системы компаний и получения доступа к критически важной информации. Для эффективной защиты от подобных угроз организациям рекомендуется применять многоуровневые стратегии безопасности, регулярно обновлять системы и программное обеспечение, контролировать сетевую активность и обучать сотрудников распознаванию признаков кибератак.
Автор: Юлия Абштейн