Librarian Ghouls охотится за данными российских предприятий и технических вузов по ночам
Эксперты «Лаборатории Касперского» обнаружили новую волну сложных целевых атак группы Librarian Ghouls. Кампания началась в декабре 2024 г. и активна до сих пор. За это время с действиями злоумышленников столкнулись сотни корпоративных пользователей из России, в том числе сотрудники производственных предприятий и технических вузов. Среди целей группы также были компании из Белоруссии и Казахстана.
Как правило, активность злоумышленников продолжается с часа ночи до пяти часов утра по местному времени. В ходе атаки они пытаются получить удалённый доступ к устройствам жертв, украсть учётные данные и установить в систему майнер, позволяющий использовать мощности заражённых ПК для нелегитимной добычи криптовалюты. Также в арсенале Librarian Ghouls, предположительно, появились фишинговые сайты, мимикрирующие под известный российский почтовый сервис.
Что известно о группе. Librarian Ghouls — это кибергруппа, которая проводит сложные целевые атаки на организации в России и странах СНГ. Она также известна как Rare Werewolf и Rezet. Злоумышленники были активны практически в течение всего 2024 г. И хотя в декабре наблюдался небольшой спад, в этом же месяце началась очередная волна атак, которая продолжается до сих пор. Для своих целей группа предпочитает использовать легитимное ПО сторонних разработчиков, а также активно обновляет арсенал: по данным «Лаборатории Касперского», с начала обнаруженной кампании появилось более 100 копий имплантов.
Фишинговая кампания. Атака начинается с отправки целевых фишинговых писем, которые содержат защищённые паролем архивы с вредоносными файлами. Такие рассылки обычно замаскированы под сообщения от реальных организаций с якобы официальными документами во вложении. Заражение происходит следующим образом: жертва открывает прикреплённый архив (пароль обычно указывается в теле письма), распаковывает и запускает его содержимое. В некоторых случаях внутри находится PDF-приманка в виде платёжного поручения на незначительную сумму, исполняемый файл легитимной утилиты curl и ярлык bat.lnk. Эти компоненты перемещаются на устройство жертвы в папку C:\Intel\. Для удалённого управления заражённым компьютером злоумышленники устанавливают на него ПО AnyDesk.
В ходе исследования эксперты также обнаружили домены фишинговых сайтов, которые, предположительно, можно отнести к текущей кампании Librarian Ghouls. Эти веб-страницы нацелены на кражу учётных данных от известного российского почтового сервиса. Часть из них оставалась активной на момент исследования.
Понижение уровня защиты устройства. В некоторых случаях при нажатии на ярлык, который был в архиве, запускается серия вредоносных действий, чтобы ослабить меры безопасности компьютера и спрятать признаки активности группы. Например, в отдельных эпизодах атакующие задают пароль QWERTY1234566 для ПО AnyDesk — это позволяет им установить соединение с устройством без необходимости запрашивать подтверждение, а также отключает «Защитник Windows». Чтобы усыпить бдительность жертвы и скрыть следы вредоносной активности, злоумышленники с помощью планировщика задач выключают скомпрометированный ПК ежедневно в пять утра по местному времени.

Скрипт «Подъём!»: кража данных и установка майнера. Программы активируются ежедневно в час ночи по местному времени. Таким образом у злоумышленников есть 4 часа для несанкционированного удалённого доступа к заражённому компьютеру через ПО AnyDesk. За это время зловред собирает и отправляет информацию атакующим. В числе интересующих их сведений — учётные данные пользователей и ключевые фразы криптовалютных кошельков. После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в заражённую систему майнер — а в конце удаляет себя с устройства.
«В обнаруженной кампании вся вредоносная функциональность реализована с помощью командных файлов и PowerShell-скриптов. При этом Librarian Ghouls, как и ранее, не создают собственные инструменты, а используют сторонние легитимные утилиты для своих целей. Злоумышленники постоянно работают над улучшением методов: они не только крадут ценные данные, но и устанавливают ПО для удалённого управления на заражённые устройства, а также, вероятно, используют фишинговые сайты для кражи почтовых учётных записей жертв. Мы следим за этой угрозой и продолжим делиться актуальной информацией об активности группы», — сказал Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.Win32.Generic, HEUR:Trojan.Win32.Hesv.gen, Trojan.Win32.Agentb.
Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют: регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть; использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестами; применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности; обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например, на платформе Kaspersky Automated Security Awareness Platform; предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например, с помощью решений класса Threat Intelligence.