La campagna più recente del gruppo Awaken Likho, scoperta a partire da giugno 2024, ha preso di mira agenzie governative e imprese industriali russe, segnando un’evoluzione significativa nei metodi di attacco rispetto alle campagne precedenti. Gli attaccanti, noti anche come Core Werewolf, hanno adottato nuovi strumenti, tra cui un implant distribuito tramite URL malevoli probabilmente ottenuti tramite phishing. Una delle novità più rilevanti è il passaggio dall’uso del modulo UltraVNC a MeshAgent, un agente della piattaforma di gestione remota MeshCentral.
Questa nuova campagna mostra l’abilità del gruppo nell’adattarsi rapidamente, utilizzando tecniche avanzate per mantenere il controllo dei sistemi compromessi. Invece del metodo tradizionale di utilizzo di Golang droppers, gli attaccanti hanno impiegato archivi autoestraenti (SFX) per distribuire il malware. Questi archivi contenevano file camuffati da servizi di sistema legittimi, progettati per ingannare gli utenti.
Strumenti utilizzati
Uno degli strumenti principali utilizzati dal gruppo è MeshAgent, che consente l’accesso remoto e il controllo delle macchine infette. Questo strumento è stato configurato per comunicare con un C2 server tramite WebSocket, e il file di configurazione era incluso nel codice dell’agent. Il processo di persistenza è stato implementato tramite uno script AutoIt e un file di comandi complesso, pesantemente offuscato, utilizzato per nascondere le attività malevole ed eliminare tracce dal sistema, come l’eseguibile di primo stadio.
Il gruppo Awaken Likho continua a evolvere le sue tecniche, come scoperto da Kaspersky e dimostrato dall’utilizzo di MeshCentral per sostituire UltraVNC e migliorare la persistenza sui sistemi compromessi. Questa nuova campagna, che ha preso di mira principalmente agenzie governative e aziende russe, evidenzia l’importanza di soluzioni di sicurezza avanzate per proteggere le infrastrutture critiche da minacce in continua evoluzione.
