2024: Атаки на российские компании
В России зафиксирована новая волна кибератак, направленных на машиностроительные и медицинские компании, с использованием вредоносного ПО с открытыми исходниками. Об этом стало известно в сентябре 2024 года. Новый вирус Loki, связанный с фреймворком Mythic, распространился через целевые атаки, нанося серьезный урон ключевым секторам экономики.
Вирус Loki является модификацией агента для фреймворка Mythic, который разработан для постэксплуатации уязвимых систем. Loki использует сложные методы маскировки, такие как шифрование данных в памяти устройства и непрямые вызовы системных функций API. Это делает его трудным для обнаружения традиционными антивирусными средствами. Вирус активно распространяется через фишинговые письма, замаскированные под официальные документы — например, сметы или списки документов, что позволяет обманом заставить пользователей открыть вредоносные файлы.
Анализ данных показал, что Loki поражает системы различными способами. После проникновения в систему вирус собирает информацию о зараженном устройстве, включая версию операционной системы, IP-адрес, имя пользователя и другие данные. Затем все эти сведения передаются на удаленный командный сервер, где происходит загрузка основной части вируса в виде динамической библиотеки (DLL). С этого момента Loki начинает активно управлять зараженной системой, получая команды с удаленного сервера и выполняя их, включая загрузку и передачу файлов, завершение процессов и запуск новых задач.
Одной из особенностей вируса является его способность внедряться в процессы системы без следов на жестком диске, что еще больше затрудняет его обнаружение. Вирус использует сторонние утилиты, такие как ngrok и gTunnel, для туннелирования трафика и доступа к частным сегментам сети. Эти инструменты помогают злоумышленникам обходить меры безопасности и продолжать атаковать системы, оставаясь незамеченными.[1]