Фишинговая кампания с бэкдорами Merlin и Loki выявлена в России

Екатерина Быстрова 12 Февраля 2025 - 13:03

Корпорации

Государство

Лаборатория Касперского

Бэкдоры

Фишинг

Целевые атаки

Таргетированные атаки

...

Фишинговая кампания с бэкдорами Merlin и Loki выявлена в России

Специалисты Kaspersky выявили нацеленную на российские организации кампанию — Mythic Likho, в рамках которой применяются модифицированная версия бэкдора Merlin и обновлённый вариант вредоносной программы Loki.

Обе программы используют фреймворк с открытым исходным кодом Mythic. Атакам подверглись более десяти российских организаций из различных отраслей, включая телекоммуникации и промышленность.

Точные цели злоумышленников неизвестны, но исследователи полагают, что атакующих интересуют конфиденциальные данные.

Для доставки вредоносов применяется фишинг. Тексты сообщений варьируются: например, одно из писем было направлено в кадровую службу машиностроительного предприятия.

В нём отправители просили предоставить характеристику на бывшего сотрудника, якобы претендующего на ответственную должность в другой компании. Такие письма, вероятно, содержат ссылки на архивы с поддельными резюме, при открытии которых происходит загрузка бэкдора Merlin.

Merlin — это инструмент для постэксплуатации с открытым исходным кодом, написанный на Go. Он совместим с Windows, Linux и macOS, а также поддерживает работу по протоколам HTTP/1.1, HTTP/2 и HTTP/3.

После активации бэкдор соединяется с сервером управления и передаёт сведения о заражённой системе, включая IP-адрес, версию операционной системы, имя пользователя, имя хоста и архитектуру процессора.

Один из обнаруженных экземпляров Merlin загружал в систему новую версию Loki. Этот бэкдор, как и его предыдущая версия, собирает данные о системе, передавая злоумышленникам идентификатор агента, IP-адрес, версию ОС, название устройства и путь к исполняемому файлу. В новой версии добавлена также передача имени пользователя.

Обе программы разработаны для работы с фреймворком Mythic. Первоначально этот инструмент создавался для тестирования защиты корпоративных систем и проведения киберучений, но может использоваться и в преступных целях.

Mythic позволяет создавать кастомизированные агенты для различных платформ, что даёт атакующим гибкость в выборе методов.

На данный момент не хватает данных, позволяющих связать эти атаки с какой-либо известной группировкой. В связи с этим кампания получила название Mythic Likho.

«Применение фреймворка Mythic и разработка кастомных агентов делает атаки гибкими: несмотря на общий метод распространения через фишинговые письма, их содержание и последовательность заражения могут отличаться. Это повышает вероятность успешного проникновения. Важно уделять повышенное внимание защите информационных систем и использовать надёжные средства кибербезопасности», — отмечает Артём Ушков, исследователь угроз в «Лаборатории Касперского».

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Яков Шпунт 13 Мая 2026 - 17:33

Соответствие законодательству РФ Общее

В России начали ограничивать продажи подавителей сигнала GPS

Перовский суд Москвы по заявлению межрайонной прокуратуры запретил продажу устройств для подавления сигнала GPS на маркетплейсах. Заявление было удовлетворено, и после вступления решения в законную силу объявления о продаже таких устройств будет запрещено размещать на любых площадках.

Эти устройства способны подавлять сигнал не только GPS, но и других систем спутникового позиционирования, включая российскую ГЛОНАСС. Кроме того, они создают помехи, которые могут мешать работе мобильной связи.

Основными покупателями таких устройств считаются водители, особенно дальнобойщики. Они используют «глушилки», чтобы избежать платежей по системе «Платон».

«GPS-глушилки привлекают водителей перспективой избежать платежей по системе «Платон» и контроля со стороны надзорных органов. Популярность этих устройств объясняется их доступностью — их можно приобрести даже в интернет-магазинах — и относительной простотой применения. На практике глушилки создают видимость возможности снизить транспортные расходы, что делает их экономически привлекательными для недобросовестных перевозчиков», — пояснили Autonews.ru в пресс-службе «Платона».

Как отметили опрошенные Autonews.ru эксперты, до решения Перовского суда устройства малой мощности, менее 100 мВт, считались обычным электронным оборудованием, поэтому их продажа на площадках не ограничивалась. Регистрации в ГКРЧ требовали только более мощные устройства, а их эксплуатация могла повлечь конфискацию и штрафы.

В августе 2025 года ассоциация «Грузавтотранс» обратилась в Роскомнадзор с жалобой на широкое использование подавителей сигнала. Помимо водителей, такие устройства применяли и владельцы объектов дорожной инфраструктуры, объясняя это защитой от ударных беспилотников. Однако обращение не привело к ограничениям на продажу подобных устройств.

В 2026 году Перовская межрайонная прокуратура обратилась в Перовский районный суд Москвы с иском к компании «АВТОПИТЕР.РУ».

«Использование специального оборудования, передающего недостоверные данные о местонахождении и/или о маршруте следования транспортного средства или искажающего данные, передаваемые бортовыми устройствами Оператору системы «Платон» при движении транспортного средства по автомобильным дорогам общего пользования федерального значения является незаконным, поскольку нарушает требования ст. 12.21.3 КоАП РФ. С учетом изложенного, указанными правовыми нормами в их взаимосвязи предусмотрен запрет на применение Специального оборудования, за что предусмотрена административная ответственность», — говорилось в исковом заявлении.

Суд удовлетворил иск и постановил заблокировать объявления о продаже устройств этого класса на досках объявлений и маркетплейсах. Решение вступит в силу 30 мая, если не будет обжаловано.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!