Эксперты «Лаборатории Касперского» выявили, что с часу ночи до пяти часов утра хакерская группа Librarian Ghouls проводит кибератаки на российские предприятия и технические вузы.
Эксперты «Лаборатории Касперского» выявили новую волну сложных целевых атак группы Librarian Ghouls, которая началась в декабре 2024 года и продолжается до сих пор. Жертвами злоумышленников стали сотни корпоративных пользователей из России, включая сотрудников производственных предприятий и технических вузов, а также компании Беларуси и Казахстана. Атаки происходят преимущественно с часа ночи до пяти утра по местному времени. Злоумышленники стремятся получить удаленный доступ к устройствам, похитить учетные данные и установить майнер для нелегальной добычи криптовалюты. Также у группы появились фишинговые сайты, имитирующие популярный российский почтовый сервис.
Атака начинается с фишинговых писем, содержащих запароленные архивы с вредоносными файлами. Письма маскируются под сообщения от реальных организаций с «официальными» документами во вложении. Жертва открывает архив, используя пароль из письма, распаковывает и запускает содержимое. Внутри может находиться PDF-документ, например, платежное поручение, легитимная утилита curl и файл bat.lnk. Эти компоненты сохраняются в папку C:\Intel, а для удаленного управления устанавливается AnyDesk.
Фишинговые сайты, обнаруженные экспертами, предназначены для кражи данных почтовых аккаунтов. Часть из них оставалась активной на момент исследования. При запуске вредоносного ярлыка выполняется серия действий для обхода защиты.
«В обнаруженной кампании вся вредоносная функциональность реализована с помощью командных файлов и PowerShell-скриптов. При этом Librarian Ghouls, как и ранее, не создают собственные инструменты, а используют сторонние легитимные утилиты для своих целей. Злоумышленники постоянно работают над улучшением методов: они не только крадут ценные данные, но и устанавливают ПО для удаленного управления на зараженные устройства, а также, вероятно, используют фишинговые сайты для кражи почтовых учетных записей жертв».
Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского»
Вредоносные программы активируются в час ночи, давая злоумышленникам 4 часа для удаленного доступа. За это время собираются данные: учетные записи, ключевые фразы криптокошельков. После передачи информации вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер — а в конце удаляет себя с устройства. В 5 утра компьютер выключается через планировщика задач.