Merlin мутирует: модифицированный бэкдор нацелен на российские компании

Эксперты «Лаборатории Касперского» обнаружили новую кампанию, в которой злоумышленники используют модифицированную версию бэкдора Merlin, а также обновлённый вариант вредоносного ПО Loki. Оба инструмента интегрированы с открытым фреймворком Mythic, предназначенным для удалённого управления системами. Атаки были зафиксированы в отношении более десяти российских организаций, работающих в различных секторах, включая телекоммуникации и промышленность. Предполагается, что целью злоумышленников является похищение конфиденциальных данных, однако точные мотивы пока не установлены.

Одним из методов распространения вредоносного ПО стал классический фишинг. Киберпреступники отправляют письма с различными предлогами, чтобы спровоцировать получателей на открытие вложений. В одном из случаев атака была направлена на отдел кадров машиностроительного предприятия: злоумышленники запросили характеристику на бывшего сотрудника, якобы претендующего на ответственную должность в другой компании. В подобных письмах содержатся ссылки, ведущие к скачиванию архива, замаскированного под резюме кандидата. Если файл открывается, запускается процесс загрузки бэкдора Merlin.

Этот вредоносный инструмент представляет собой постэксплуатационный фреймворк с открытым исходным кодом, разработанный на языке Go. Он совместим с различными операционными системами, включая Windows, Linux и macOS, и поддерживает несколько сетевых протоколов, таких как HTTP/1.1, HTTP/2 и HTTP/3. После установки на устройство Merlin устанавливает связь с сервером атакующих, передавая им информацию о системе жертвы, включая IP-адрес, версию ОС, имя компьютера, имя пользователя, архитектуру процессора и данные о процессе, в рамках которого он был запущен.

Кроме того, в рамках этой атаки одна из версий Merlin загружает в систему новую модификацию бэкдора Loki. Как и предыдущие версии, этот зловред собирает данные об устройстве и своей сборке, передавая атакующим информацию об идентификаторе агента, внутреннем IP-адресе, версии операционной системы и расположении исполняемого файла. В новом варианте к списку передаваемых данных добавлено поле с именем пользователя.

Оба инструмента разработаны для работы с Mythic — фреймворком, созданным для проведения тестов на проникновение и оценки защищённости систем. Однако его гибкость позволяет злоумышленникам адаптировать функционал под вредоносные цели. Mythic предоставляет возможность разрабатывать агентов на разных языках программирования для различных платформ, что делает его удобным инструментом для киберпреступников.

В связи с тем, что злоумышленники не используют типичные шаблоны атак, а варьируют содержание писем и цепочки заражения, кампания получила отдельное название — Mythic Likho. Специалисты отмечают, что высокая степень гибкости делает эти атаки более сложными для выявления, а значит, организациям необходимо уделять особое внимание мерам кибербезопасности и применять современные методы защиты от подобных угроз.