Специалисты из компании Kaspersky обнаружили специально нацеленную на российские организации киберкампанию под названием Mythic Likho. В рамках этой кампании злоумышленники используют измененную версию программы Merlin и обновленный вариант вредоносной программы Loki. Обе программы используют открытый исходный код Mythic. Было зафиксировано более десяти атак на российские компании из разных отраслей, таких как телекоммуникации и промышленность.
Цель злоумышленников неизвестна, но исследователи полагают, что их интересуют конфиденциальные данные. Для распространения вредоносов используется метод фишинга. Например, одно из писем было отправлено в кадровую службу машиностроительного предприятия, где просили предоставить данные о бывшем сотруднике, который якобы ищет работу в другой компании. При открытии прикрепленных к таким письмам архивов происходила загрузка бэкдора Merlin.
Merlin — это инструмент для работы с операционными системами Windows, Linux и macOS, написанный на языке Go. После активации бэкдор соединяется с сервером управления и передает информацию о зараженной системе. Один из обнаруженных экземпляров Merlin загружал новую версию Loki, который также собирает данные о системе и передает их злоумышленникам.
Обе программы разработаны для работы с фреймворком Mythic, который изначально создавался для тестирования защиты корпоративных систем, но может быть использован и для злонамеренных целей. Mythic позволяет создавать кастомизированные агенты для разных платформ, что дает атакующим гибкость в выборе методов.
На данный момент нет информации, связывающей эти атаки с какой-либо известной группировкой, поэтому кампания получила название Mythic Likho. Важно обратить особое внимание на защиту информационных систем и использовать надежные средства кибербезопасности.
