高级持久威胁组 Awaken Likho 利用先进工具进行攻击

关键要点

• Awaken Likho （又名 PseudoGamaredon 和 Core Werewolf ）最近对俄罗斯政府机构及其承包商以及该国的工业组织开展了攻击。
• 攻击活动在 6月至8月 期间进行，并使用了更先进的工具。
• 此次攻击采用了 UltraVNC 进行潜伏式攻击，采用了新的传播方式。

根据 报导，Awaken Likho 作为一个高级持久威胁（APT）组，针对俄罗斯的政府机构及其合作伙伴，以及该国的工业组织，进行了多次入侵攻击。这些攻击活动在 2023年6月到8月 之间展开，显示出该组织运用了更为精密的工具和技术。

这次的入侵攻击采用了UltraVNC ，通过一个基于7-Zip的自解压档案文件进行攻击。这个档案文件中执行了一段 AutoIT 脚本，用于解压和启动 MeshAgent 远程管理工具。这一手法与该组织以往主要通过 Microsoft Word 和 PDF文档伪装的可执行文件分发 UltraVNC 的模式有所不同。根据卡巴斯基 的报告指出：“这些操作使得APT能够在系统中持续存在：攻击者创造了一个定时任务来运行命令文件，而该命令文件又启动 MeshAgent ，以与 MeshCentral 服务器建立连接。”

这种新的入侵方式显示出Awaken Likho 在攻击手法上的不断演进。信息安全团队必须保持警惕，加强防护措施，确保网络安全。